Opnieuw verbinden is een hulpmiddel dat aanvallers de kans geeft om rekeningen op sites te vertrouwen op Facebook login kapen. De tool is ontwikkeld door security-onderzoeker Egor Homakov in reactie op Facebook's weigering om een cross-site request bug in Facebook Inloggen repareren vanwege mogelijke problemen met de compatibiliteit.
De ontwikkelaar van het gereedschap schreef in zijn blog dat elke website verbonden met Facebook via login wordt blootgesteld aan phishing bedreigingen. De tweede een aanvaller vindt een 302 omleiden naar een ander domein, de rekening in kwestie kan worden gekaapt.
Homakov bekendgemaakt zijn communicatie met de Facebook-team. Erkend door zijn zorgen, het team schreef dat ze op de hoogte waren van deze zaak, maar ze hadden een systematische oplossing niet. Het team vermeldde ook dat de omvang van het probleem was discutabel.
Anderzijds, Homakov benadrukt dat ondanks het feit dat Facebook de zakelijke benadering is begrijpelijk, men moet nooit aarzelen tussen veiligheid en compatibiliteit.
Wat doet Sluit Do?
De tool maakt gebruik van het gebrek aan CSRF (Cross-Site Request Vervalsing) bescherming die drie processen gaat - Facebook inloggen, uitloggen en derdenrekening verbindingen. Facebook kan oplossen de eerste twee, maar zal niet doen vanwege de hierboven genoemde reden. Het derde probleem, echter, moet worden opgelost door websites eigenaars die ervoor koos om de Login met Facebook-functionaliteit te integreren.
Reconnect genereert kwaadaardige URL. Zodra een gebruiker is gelokt in hen te klikken, ze worden afgemeld bij hun profiel en ingelogd zijn om een schurkenstaat rekening gecreëerd door de hacker. Dit stelt de aanvaller in te grijpen met alle privégegevens van de gebruiker op de website van derden.
Facebook's verklaring
In plaats van de vaststelling van het probleem, Facebook besloten om dingen moeilijker voor kaper te maken door het implementeren van enkele wijzigingen in CSRF login voorkomen. De reus heeft bracht ook een leidraad voor ontwikkelaars waarin wordt uitgelegd hoe u de Inloggen Dialogen te integreren in alle gevallen.
Homakov's Conclusie
Terwijl acties Homakov's lijkt misschien overdreven om een aantal, de ontwikkelaar met succes de aandacht gevestigd op een potentieel te benutten bedreiging. Zijn advies richting bedrijven en gebruikers gebruikt niet de login die door Facebook. In zijn woorden, wachtwoorden zijn een veel betere keuze.