Çatlak Dünya » Anasayfa » Sosyal Medya

Araştırmacılardan Facebook Login’i delen araç

13 Mart 2015 | Yazar: Mümin Köykıran | Yorum yok | 660 Kez Ziyaret Edildi.

2015031022434787272

Facebook’un web siteleri tarafından sıkça kullanılan bu hizmeti, basit bir araçla “deliniyor!”

Güvenlik araştırmacıları, hazırladıkları bir araçla Facebook oturum açma işlevini kullanan sitelerdeki hesapların, olta saldırısı için kullanılabileceğini gösterdiler.

Güvenlik firması Sakurity’den araştırmacı Egor Homakov‘un geçen hafta yayınladığı Reconnect adlı araç, Facebook Login’deki çapraz-site isteği sahtekarlığı (CSRF) sorunundan faydalanıyor. Facebook Login, kullanıcıların web sitelerine Facebook bilgileriyle oturum açmasına izin veren bir hizmet.

Saldırı, zararlı URL’ler oluşturarak gerçeğe dönüştürüyor. Kurban, bu URL’lere tıkladığında kendi Facebook hesabından çıkıp, saldırganlar tarafından hazırlanan sahte hesaplara oturum açmış oluyor. Bunun yanında arka planda kullanıcının Facebook Login’i kullanan diğer web siteleri, saldırganların hazırladığı sahte Facebook hesaplarıyla bağlantılı hale getiriliyor. Böylece saldırganlar, kullanıcının üçüncü parti sitelerdeki hesaplarına erişip, parolayı değiştirebiliyor, özel mesajları okuyabiliyor ve fazlasını yapabiliyorlar.

Homakov, bu açığın Facebook tarafından onarılabileceğini söylüyor. Bununla birlikte Facebook’un eposta yoluyla yaptığı açıklamaya göre bu durum herhangi bir sorun teşkil etmiyor ve Login’i kullanan geliştiriciler, OAuth Login için sunulan “state” parametresini kullanarak bu sorunu aşabilirler.

Bir önceki yazımız olan başlıklı makalemizi de okumanızı öneririz.
quup FaceBook'ta paylaş
 Yazının Etiketleri  


avatar

Mümin Köykıran

http://catlak-dunya.com Araştırmayı seven birisiyim, meraklı bir kişiliğim var bilgisayar ile ilgili hiçbir konuda uğraşmaktan sıkılmam. Kendimi bilgisayar ile ilgili her konuda geliştirmeye çalışıyorum. Çanakkale On Sekiz Mart Bilgisayar Mühendisliği Öğrencisiyim. Google+

Teknoloji Haberleri

Teknoloji Haberleri

sayac