Уязвимость протокола авторизации Facebook позволяет злоумышленникам получить полный контроль над учётной записью жертвы.
Эксперты из компании, специализирующейся на обеспечении безопасности в Сети Break Security опубликовали отысканную ими и до сих пор не устранённую уязвимость в системе авторизации социальной сети Facebook.
В частности, используя уязвимость, злоумышленники могут получить контроль над учётной записью пользователя, на компьютере которого установлены Skype или Dropbox. В этом случае, хакерам достаточно найти перенаправление /XSS на домене приложения, которое использует жертва – skype.com или dropbox.com. Обнаружив брешь на сайте владельца приложения, злоумышленник может похитить учетные данные жертвы при помощи маркера доступа access_token.
Описанный алгоритм взлома позволяет хакерам легко получить доступ к любой учётной записи
Break Security утверждают, что в данный момент уязвимости в системе перенаправления являются весьма распространенным явлением. В то же время они не подпадают под программы выплаты вознаграждения за их обнаружение. В данный момент описанная «дыра» в системе до сих по не закрыта.
В заключение, эксперты Break Security утверждают, что обнаружили способ получить информацию о том, какие приложение использует жертва. Исследователи отмечают, что уязвимости в протоколах Facebook существуют потому, что разработкой приложений для социальной сети занимаются сторонние разработчики.