В Facebook обнаружена уязвимость
Известный специалист по информационной безопасности Нитеш Дханжани в своем блоге сообщил, что ПО, управляющее социальной сетью Facebook, уязвимо для определенных типов кибератак, которые могут позволить злоумышленникам захватить контроль над аккаунтом пользователя, когда тот взаимодействует с третьим сайтом. По информации Дханжани, архитектурная уязвимость в Facebook может предоставить доступ к пользовательским данным и третьим приложениям без запроса со стороны пользователей.
Механизм реализации уязвимости таков. До недавних пор в Facebook применялись всплывающие окна, которые предупреждали пользователя, когда тот собирался добавить любые третьи приложения на ПК или в свой блог. В результате у пользователей была возможность передумать до того, как начиналась загрузка приложений. Но не так давно политика Facebook была изменена. Теперь некоторые приложения могут использовать т.н. неявные функции авторизации, не предупреждая пользователей. Как результат, сторонние сайты могут получить доступ к ряду пользовательских данных.
По мнению Нитеша Дханжани ставшая возможной атака – это разновидность атак ClickJacking или мошенничества с кликами. Ранее в наличии подобных уязвимостей эксперты уличили сервис микроблоггинга Twitter.
Антон Платов
Механизм реализации уязвимости таков. До недавних пор в Facebook применялись всплывающие окна, которые предупреждали пользователя, когда тот собирался добавить любые третьи приложения на ПК или в свой блог. В результате у пользователей была возможность передумать до того, как начиналась загрузка приложений. Но не так давно политика Facebook была изменена. Теперь некоторые приложения могут использовать т.н. неявные функции авторизации, не предупреждая пользователей. Как результат, сторонние сайты могут получить доступ к ряду пользовательских данных.
По мнению Нитеша Дханжани ставшая возможной атака – это разновидность атак ClickJacking или мошенничества с кликами. Ранее в наличии подобных уязвимостей эксперты уличили сервис микроблоггинга Twitter.
Антон Платов
