Koble er et verktøy som gir angripere sjansen til å kapre kontoer på nettsteder som stolte på Facebook login. Verktøyet er utviklet av sikkerhetsforsker Egor Homakov svar på Facebook nektet å fikse en cross-site request bug i Facebook Logg på grunn av potensielle problemer med kompatibilitet.
Utvikleren av verktøyet skrev i sin blogg at hvert nettsted er koblet til Facebook via innlogging er utsatt for phishing trusler. Den andre en angriper finner en 302 omdirigere til et annet domene, kontoen i spørsmålet kan bli kapret.
Homakov avslørt sin kommunikasjon med Facebook-teamet. Anerkjent av hans bekymringer, teamet skrev at de var klar over denne saken, men de har ikke en systematisk løsning. Teamet nevnte også at omfanget av problemet var diskutabel.
På den andre siden, Homakov streker at til tross for at Facebook virksomhet tilnærming er forståelig, man bør aldri nøle mellom sikkerhet og kompatibilitet.
Hva gjør Koble Do?
Verktøyet utnytter mangelen på CSRF (Cross-Site Request Forgery) beskyttelse som innebærer tre prosesser - Facebook logg inn, logge ut og tredjeparts konto tilkoblinger. Facebook er i stand til å løse de to første, men vil ikke gjøre det på grunn av grunnen nevnt ovenfor. Den tredje saken, men, må løses av nettsteder eierne som valgte å integrere Logg inn med Facebook-funksjonalitet.
Koble genererer skadelige nettadresser. Når en bruker er lokkes til å klikke på dem, de er logget ut av deres profil og logget på en rogue konto opprettet av hacker. Dette gjør det mulig for angripere å gripe inn med alle private data brukeren har på tredjeparts nettside.
Facebooks erklæring
I stedet for å fikse problemet, Facebook besluttet å gjøre ting vanskeligere for kaprer ved å implementere noen endringer for å unngå CSRF innlogging. Den giganten har også gitt ut en veiledning til utviklere som forklarer hvordan du kan integrere de Logg Dialoger i alle tilfeller.
Homakov konklusjon
Mens Homakov handlinger kan virke overdrevet til noen, utvikleren hell trakk oppmerksomhet til en potensiell utnytte trussel. Hans råd til bedrifter og brukere ikke bruker påloggings levert av Facebook. I hans ord, passord er et langt bedre valg.