Reconnect é uma ferramenta que dá atacantes a oportunidade de roubar contas em sites que dependem Facebook login. A ferramenta foi desenvolvida pelo pesquisador de segurança Egor Homakov em resposta à recusa do Facebook para corrigir um bug pedido cross-site no Facebook Entrar devido a possíveis problemas de compatibilidade.
O desenvolvedor da ferramenta, escreveu em seu blog que cada site ligado ao Facebook por meio de login é exposto a ameaças de phishing. O segundo um atacante encontra um 302 redirecionar para outro domínio, a conta em questão pode ser sequestrado.
Homakov revelou sua comunicação com a equipe Facebook. Reconhecido por suas preocupações, a equipe escreveu que eles estavam cientes deste assunto, mas eles não têm uma solução sistemática. A equipe também mencionou que a escala do problema era discutível.
Por outro lado, Homakov enfatiza que, apesar do fato de que a abordagem de negócios do Facebook é compreensível, nunca se deve hesitar entre segurança e compatibilidade.
O que faz Reconnect Do?
A ferramenta explora a falta de CSRF (Cross-Site Request Forgery) proteção que envolve três processos - Facebook login, logout e conexões de conta de terceiros. Facebook é capaz de resolver os dois primeiros, mas não irá fazê-lo por causa da razão acima mencionada. A terceira questão, contudo, deve ser resolvido pelos sites proprietários que optaram por integrar o login com a funcionalidade Facebook.
Reconnect gera URLs maliciosos. Uma vez que um usuário é atraído para clicando neles, eles são registrados fora do seu perfil e conectado a uma conta desonestos criado pelo hacker. Isso permite que o atacante de intervir com todos os dados privados do usuário tem no site da de terceiros.
Declaração do Facebook
Em vez de corrigir o problema, Facebook decidiu fazer as coisas mais difíceis para o seqüestrador através da implementação de algumas mudanças para evitar CSRF de login. O gigante também lançou uma orientação para os desenvolvedores que explica como integrar o login do Diálogos em todos os casos.
Conclusão do Homakov
Enquanto as ações de Homakov pode parecer exagerado para alguns, o desenvolvedor chamou a atenção com sucesso a um potencial de explorar ameaça. Seu conselho para com as empresas e os usuários não está usando seu login fornecido pelo Facebook. Em suas palavras, senhas são uma escolha muito melhor.