Reconnect è uno strumento che dà attaccanti la possibilità di dirottare account su siti basandosi su Facebook login. Lo strumento è stato sviluppato dal ricercatore di sicurezza Egor Homakov in risposta al rifiuto di Facebook per risolvere una richiesta di bug cross-site Accedi con Facebook a causa di potenziali problemi di compatibilità.
Lo sviluppatore dello strumento ha scritto nel suo blog che ogni sito web collegato a Facebook tramite login è esposta a minacce di phishing. Il secondo un attaccante trova un 302 reindirizzare ad un altro dominio, l'account in questione può essere dirottato.
Homakov rivelato la sua comunicazione con il team Facebook. Riconosciuto per le sue preoccupazioni, il team ha scritto che erano a conoscenza di questa materia, ma non avevano una soluzione sistematica. Il team ha anche ricordato che la scala del problema era discutibile.
D'altronde, Homakov sottolinea che, nonostante il fatto che l'approccio di business di Facebook è comprensibile, non si dovrebbe mai esitare tra sicurezza e compatibilità.
Cosa fa Reconnect Do?
Lo strumento sfrutta la mancanza di CSRF (Cross-Site Request Forgery) protezione che coinvolge tre processi - Facebook login, log out e connessioni conto terzi. Facebook è in grado di risolvere i primi due, ma non farlo a causa del motivo di cui sopra. La terza questione, tuttavia, deve essere risolto dai siti web proprietari che hanno scelto di integrare il Login with Facebook funzionalità.
Reconnect genera URL dannosi. Una volta che un utente viene attirato in clic su di essi, essi vengono registrati dal loro profilo e registrati in un conto canaglia creato da un hacker. In questo modo l'attaccante di intervenire con tutti i dati privati l'utente ha sul sito web di terze parti.
Dichiarazione di Facebook
Invece di fissare il problema, Facebook ha deciso di rendere le cose più difficili per hijacker implementando alcune modifiche per evitare CSRF login. Il gigante ha anche rilasciato una guida per gli sviluppatori che spiega come integrare le Entra Dialogs in tutti i casi.
Conclusione di Homakov
Mentre le azioni di Homakov possono sembrare esagerato ad alcuni, lo sviluppatore ha con successo l'attenzione di un potenziale exploit minaccia. Il suo consiglio verso le imprese e gli utenti non utilizza il login fornito da Facebook. Nelle sue parole, le password sono una scelta di gran lunga migliore.