חברו מחדש הוא כלי שנותן התוקפים את הסיכוי לחטוף חשבונות באתרים הסתמכות על התחברות לפייסבוק. הכלי פותח על ידי חוקר אבטחת האגור Homakov בתגובה לסירובו של פייסבוק כדי לתקן באג בקשת חוצי אתרי פייסבוק כניסה בשל בעיות פוטנציאליות עם תאימות.
היזם של הכלי כתב בבלוג שלו כי כל אתר מחובר לפייסבוק באמצעות שם משתמש חשוף לאיומים פישינג. שני התוקף מוצא 302 להפנות תחום אחר, החשבון המדובר עשוי להיות נחטף.
Homakov חשפה התקשורת שלו עם צוות פייסבוק. הודה על ידי החששות שלו, צוות כתב כי הם היו מודעים לעניין זה, אבל לא היה להם פתרון שיטתי. צוות גם הזכיר כי היקף הבעיה היה שנוי במחלוקת.
מצד שני, Homakov מדגישה כי למרות העובדה כי הגישה העסקית של פייסבוק היא מובנת, אחד לא צריך להסס בין ביטחון לבין תאימות.
מה עושה חבר מחדש Do?
הכלי מנצל את חוסר CSRF (זיוף בקשה חוצה-Site) הגנה אשר כוללת שלושה תהליכים - פייסבוק להיכנס, להתנתק קשרים חשבון צד שלישי. פייסבוק הוא מסוגל לפתור את שני הראשונים, אבל לא יעשה זאת בגלל הסיבה הנ"ל. הנושא השלישי, למרות זאת, חייב להיפתר על ידי בעלי אתרים שבחרו לשלב את הכניסה עם פונקציונליות פייסבוק.
חברו מחדש יוצרת כתובות זדוניות. ברגע שמשתמש להתפתות לחיצה עליהם, הם התנתקו מהם את הפרופיל שלהם מחוברים לחשבון נוכלים שנוצר על ידי ההאקר. זה מאפשר התוקף להתערב עם כל המידע הפרטי למשתמש יש באתר של הצד השלישי.
ההצהרה של פייסבוק
במקום לתקן את הבעיה, פייסבוק החליט להקשות על חוטף על ידי יישום כמה שינויים כדי למנוע כניסת CSRF. הענקי גם פרסמה הנחיה למפתחים המסביר כיצד לשלב דיאלוגי הכניסה בכל המקרים.
מסקנתו של Homakov
בעוד פעולות Homakov אולי נראות מוגזמות קצת, היזם הפנה את תשומת הלב בהצלחה פוטנציאל לנצל איום. העצה שלו כלפי לעסקים ולמשתמשים לא משתמשת ההתחברות המסופקת על ידי פייסבוק. במילים שלו, סיסמאות הן בחירה הרבה יותר טוב.