Trazi

Alat RECONNECT koristi bag u web sajtovima sa opcijom ''Prijavi se sa Facebook nalogom''

Društvene mreže, 12.03.2015, 00:30 AM

Alat RECONNECT koristi bag u web sajtovima sa opcijom ''Prijavi se sa Facebook nalogom''

Igor Homakov, istraživač iz kompanije Sakurity otkrio je kritični bezbednosni propust koji omogućava hakerima da preotmu Facebook naloge na web sajtovima koji koriste funkciju “Prijavi se preko Facebooka”.

Ranjivost ne omogućava hakerima pristup lozinki Facebook naloga, ali im omogućava pristup nalogu pomoću Facebook aplikacije third-party web sajtova kao što su Bit.ly, Mashable, Vimeo, About.me i drugih.

Homakov je o propustu obavestio Facebook pre godinu dana, ali je kompanija odbila da ga ispravi jer bi to ugrozilo kompatibilnost Facebooka sa većinom web sajtova.

Kritični propust koji je otkrio Homakov koristi nedostatak CSRF (Cross-Site Request Forgery) zaštite za tri procesa: prijavljivanje, odjavljivanje i i prijavljivanje na druge sajtove sa Facebook nalogom.

Prva dva problema mogao je da reši Facebook, ali prema rečima Homakova, to još uvek nije učinjeno. Međutim, ovo poslednje moraju da reše vlasnici web sajtova koji korisnicima nude opciju “Login with Facebook”.

Zbog toga što Facebook nije želeo da ispravi ovaj propust, Homakov je objavio alat, nazvan RECONNECT, koji iskorišćava propust i omogućava hakerima da generišu URL-ove koji se mogu koristiti za preotimanje naloga na sajtovima koji koriste “Login with Facebook” dugme.

Homakov je objavio i post na blogu u kome je hakerima objasnio korak po korak kako je moguće iskoristiti ovaj propust, koji im može omogućiti da promene email i lozinku na hakovanom Facebook nalogu, da čitaju privatne poruke korisnika i mnogo toga još.

Kada potencijalne žrtve kliknu na URL-ove, one se odjavljuju sa svojih Facebook naloga i prijavljuju na lažne naloge na društvenim mrežama koje kreiraju napadači. U isto vreme, nalozi žrtava na web sajtovima koji koriste “Login with Facebook” se povezuju sa tim lažnim nalozima.

Svaki web sajt koji podržava “Login with Facebook” može biti hakovan ručnim ubacivanjem linka u alat koji generiše Facebook login zahteve u ime korisnika.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Prevaranti koriste Meta oglase i lažne vesti za globalne investicione prevare

Prevaranti koriste Meta oglase i lažne vesti za globalne investicione prevare

Investicione prevare su među najprofitabilnijim oblicima internet kriminala i sve češće koriste društvene mreže kao glavni kanal za pronalaženj... Dalje

Instagram uvodi obaveštenja za roditelje tinejdžera o pretragama vezanim za samopovređivanje

Instagram uvodi obaveštenja za roditelje tinejdžera o pretragama vezanim za samopovređivanje

Instagram će u narednim nedeljama početi da obaveštava roditelje koji koriste opciju roditeljskog nadzora ukoliko je njihovo dete u kratkom vremens... Dalje

Reddit kažnjen zbog nezakonitog korišćenja podataka dece mlađe od 13 godina

Reddit kažnjen zbog nezakonitog korišćenja podataka dece mlađe od 13 godina

Britanski regulator za zaštitu podataka (ICO) kaznio je društvenu mrežu Reddit sa oko 14,47 miliona funti zbog nezakonitog prikupljanja i korišće... Dalje

Irska pokrenula istragu o X-u: Grok pod lupom zbog mogućeg kršenja GDPR-a

Irska pokrenula istragu o X-u: Grok pod lupom zbog mogućeg kršenja GDPR-a

Irska je zvanično pokrenula istragu protiv kompanije X nakon optužbi da je njen AI alat Grok generisao seksualizovane slike stvarnih osoba bez njiho... Dalje

Društvene mreže zaradile milijarde od oglasa povezanih sa prevarama

Društvene mreže zaradile milijarde od oglasa povezanih sa prevarama

Društvene mreže ostvarile su gotovo 5,2 milijarde dolara prihoda od lažnih oglasa u Evropi tokom 2025. godine, na osnovu skoro 993 milijarde prikaz... Dalje

Prijatelji

besplatni programi za windows android ios linux testovi uputstva
IT Vesti
Jeftini proizvodi
Baguje.com

© 2017. SINGI Inzenjering. Sva prava zadržana. Privacy Policy

Developed by MyCity, designed by Spundo.