Ο ερευνητής ασφάλειας Josip Franjkovic, ο οποίος συγκαταλέγεται ανάμεσα στους δέκα κορυφαίους bug hunters του Facebook, κατάφερε να εντοπίσει μια ακόμη ευπάθεια στη δημοφιλή πλατφόρμα κοινωνικής δικτύωσης.

Αυτή τη φορά η ευπάθεια έγκειται στο χαρακτηριστικό “Facebοοk Device Login” και μπορεί να οδηγήσει σε υποκλοπή των Access_Tokens ανυποψίαστων χρηστών, καθώς και σε ενδεχόμενη παραβίαση οποιουδήποτε λογαριασμού.

Σε μια προσπάθεια να απλοποιήσει ακόμη περισσότερο τη διαδικασία σύνδεσης σε υπηρεσίες και εφαρμογές στις IoΤ συσκευές, το Facebook εισήγαγε πρόσφατα την λειτουργία Device Login, η οποία επιτρέπει στους χρήστες να συνδέονται με ευκολία και ασφάλεια στις εφαρμογές των IoT devices μέσω του Facebook account τους. [Περισσότερες πληροφορίες μπορούν να βρεθούν στη σελίδα του Facebook για προγραμματιστές].

Ωστόσο, εξαιτίας μιας ευπάθειας που ανακαλύφθηκε τον περασμένο χειμώνα από τον ερευνητή Josip Franjkovic, και συγκεκριμένα λόγω της έλλειψης προστασίας CSRF, η συγκεκριμένη λειτουργία αποδείχτηκε επισφαλής, καθώς θα μπορούσε, όπως αποδείχτηκε, να αποκαλύψει σε επιτιθέμενους τα access_tokens των θυμάτων.

Για αναλυτικότερες πληροφορίες, καθώς και για το proof of concept της επίθεσης, μπορείτε να ανατρέξετε στην ιστοσελίδα του ερευνητή.

Για την επιτυχή αξιοποίηση της συγκεκριμένης ευπάθειας, ο επιτιθέμενος χρειάζεται μόνο να γνωρίζει ότι το θύμα έχει ενεργοποιήσει το χαρακτηριστικό Facebοοk Login for Devices σε κάποια εφαρμογή. Κάθε συσκευή που έχει ενεργοποιημένο το χαρακτηριστικό αυτό και απενεργοποιημένο το Web OAuth Login, είναι επιρρεπής στο συγκεκριμένο τύπο επίθεσης.

Επιπλέον, μέσω κάποιων επιπρόσθετων tweaks, οποιαδήποτε εφαρμογή μπορεί να αξιοποιηθεί για την παραβίαση του Facebook Account του θύματος.

Για την επιδιόρθωση του συγκεκριμένου κενού ασφάλειας το Facebook προχώρησε σε προσθήκη μηχανισμού προστασίας CSRF, ενώ κάθε φορά που χρησιμοποιείται το χαρακτηριστικό Device Login εμφανίζεται νέο re-confirmation pop-up για λόγους ασφάλειας.

Πηγή: SecNews

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις