Anslut är ett verktyg som ger angripare möjlighet att kapa konton på webbplatser som förlitar sig på Facebook inloggning. Verktyget har utvecklats av säkerhetsforskare Egor Homakov svar på Facebook vägran att fastställa en cross-site begäran bugg i Facebook Login på grund av potentiella problem med kompatibilitet.
Utvecklaren av verktyget skrev i sin blogg att varje webbplats kopplad till Facebook via inloggning utsätts för phishing hot. Den andra en angripare finner en 302 omdirigera till en annan domän, kontot i fråga kan kapad.
Homakov avslöjas hans kommunikation med Facebook laget. Erkänts av hans bekymmer, laget skrev att de var medvetna om denna fråga, men de hade inte en systematisk lösning. Teamet nämnde också att omfattningen av problemet var diskutabelt.
Å andra sidan, Homakov betonar att trots att Facebooks affärsstrategi är förståe, man bör aldrig tveka mellan säkerhet och kompatibilitet.
Vad gör Anslut Do?
Verktyget utnyttjar bristen på CSRF (Cross-Site Request Forgery) skydd som omfattar tre processer - Facebook logga in, logga ut och tredjepartskontoanslutningar. Facebook är kapabel att lösa de två första, men kommer inte att göra det på grund av den anledningen som nämns ovan. Den tredje frågan, dock, måste lösas av webbplatser ägare som valde att integrera in med Facebook funktionalitet.
Pånyttkoppling genererar skadliga webbadresser. När en användare lockas till att klicka på dem, de är inloggade ur sin profil och loggat in på ett falskt konto som skapats av hackaren. Detta gör det möjligt för angripare att ingripa med alla privata data användaren har på tredje parts webbplats.
Facebook har ordet
I stället för att fastställa problemet, Facebook beslutat att göra saker och ting svårare för kapare genom att genomföra några förändringar för att undvika CSRF inloggning. Jätten har också släppt en vägledning för utvecklare som förklarar hur man kan integrera de Inloggning Dialogs i samtliga fall.
Homakov slutsats
Medan Homakov agerande kan tyckas överdrivet att vissa, utvecklaren drog framgångsrikt uppmärksamheten på ett potentiellt utnyttja hot. Hans råd till företag och användare inte använder inloggning från Facebook. I hans ord, lösenord är ett mycket bättre val.