Tilslut er et værktøj, der giver angribere mulighed for at kapre konti på sites afhængige Facebook login. Værktøjet er udviklet af sikkerhed forsker Egor Homakov svar på Facebook afslag på at fastsætte en cross-site request fejl i Facebook Login grundet potentielle problemer med kompatibilitet.
Udvikleren af værktøjet skrev i sin blog, at hver hjemmeside forbundet til Facebook via login udsættes for phishing trusler. Den anden en hacker finder en 302 omdirigere til et andet domæne, den pågældende konto, kan kapret.
Homakov oplyses sin kommunikation med Facebook hold. Anerkendt af hans bekymringer, holdet skrev, at de var klar over denne sag, men de havde ikke en systematisk løsning. Holdet nævnte også, at omfanget af problemet var diskutabel.
På den anden side, Homakov understreger, at på trods af at Facebooks business tilgang er forståelig, man bør aldrig tøve mellem sikkerhed og kompatibilitet.
Hvad Er Tilslut Do?
Værktøjet udnytter den manglende CSRF (Cross-Site Request dokumentfalsk) beskyttelse, som omfatter tre processer - Facebook log ind, logge ud og tredjeparts konto tilslutninger. Facebook er i stand til at løse de to første, men vil ikke gøre det på grund af ovennævnte årsag. Det tredje spørgsmål, dog, må løses ved hjemmesider ejere, der valgte at integrere Login with Facebook-funktionalitet.
Tilslut genererer ondsindede webadresser. Når en bruger er lokket til at klikke dem, de er logget ud af deres profil og er logget ind på en slyngelstat konto skabt af hacker. Dette gør det muligt angriberen at gribe ind med alle de private data brugeren har på tredjeparts websted.
Facebooks erklæring
I stedet for fastsættelse af problemet, Facebook har besluttet at gøre tingene vanskeligere for flykaprer ved at gennemføre nogle ændringer for at undgå CSRF login. Kæmpen har også udgivet en vejledning til udviklere, som forklarer, hvordan man kan integrere de Login Dialoger i alle tilfælde.
Homakov konklusion
Mens Homakov handlinger kan synes overdrevet for nogle, udvikleren held gjorde opmærksom på en potentiel udnytte trussel. Hans råd mod virksomheder og brugere ikke bruger login fra Facebook. I hans ord, passwords er et langt bedre valg.