Reconnect est un outil qui donne la chance attaquants de détourner comptes sur des sites en se appuyant sur Facebook login. L'outil a été développé par le chercheur en sécurité Egor Homakov en réponse au refus de Facebook de fixer une demande bug cross-site dans Facebook Connexion raison des problèmes potentiels de compatibilité.
Le développeur de l'outil a écrit dans son blog que chaque site connecté à Facebook via connexion est exposée à des menaces de phishing. La seconde un attaquant trouve un 302 rediriger vers un autre domaine, le compte en question peut être détourné.
Homakov divulgué sa communication avec l'équipe Facebook. Reconnu par ses préoccupations, l'équipe a écrit qu'ils étaient au courant de cette question, mais ils ne avaient pas une solution systématique. L'équipe a également mentionné que l'ampleur du problème est discutable.
D'autre part, Homakov souligne que malgré le fait que l'approche d'affaires de Facebook est compréhensible, il ne faut jamais hésiter entre la sécurité et la compatibilité.
Que ne se reconnecte Do?
L'outil exploite le manque de CSRF (Cross-Site Request Forgery) protection qui implique trois processus - Facebook Connectez-vous, déconnecter et compte connexions de tiers. Facebook est capable de résoudre les deux premiers, mais ne sera pas le faire à cause de la raison mentionnée ci-dessus. La troisième question, cependant, doit être résolu par propriétaires de sites Web qui ont choisi d'intégrer la fonctionnalité Connexion avec Facebook.
Rebranchez génère des URL malveillants. Une fois qu'un utilisateur est attiré dans cliquant dessus, ils sont déconnectés de leur profil et connecté à un compte voyous créé par le pirate. Cela permet à l'attaquant d'intervenir auprès de toutes les données privées l'utilisateur sur le site Web de tiers.
Déclaration de Facebook
Au lieu de fixer la question, Facebook a décidé de rendre les choses plus difficile pour les pirates de l'air en mettant en œuvre quelques changements pour éviter CSRF connexion. Le géant a également publié un guide pour les développeurs qui explique comment intégrer les boîtes de dialogue Connexion dans tous les cas.
Conclusion du Homakov
Bien que les actions de Homakov peuvent sembler exagérée à certains, le développeur a attiré l'attention sur un succès potentiel d'exploiter la menace. Son conseil vers les entreprises et les utilisateurs ne utilise pas la connexion fournie par Facebook. Dans ses mots, les mots de passe sont un bien meilleur choix.