Araştırmacılardan Facebook Login'i delen araç
Facebook'un web siteleri tarafından sıkça kullanılan bu hizmeti, basit bir araçla "deliniyor!"
Güvenlik araştırmacıları, hazırladıkları bir araçla Facebook oturum açma işlevini kullanan sitelerdeki hesapların, olta saldırısı için kullanılabileceğini gösterdiler.
Güvenlik firması Sakurity'den araştırmacı Egor Homakov'un geçen hafta yayınladığı Reconnect adlı araç, Facebook Login'deki çapraz-site isteği sahtekarlığı (CSRF) sorunundan faydalanıyor. Facebook Login, kullanıcıların web sitelerine Facebook bilgileriyle oturum açmasına izin veren bir hizmet.
Saldırı, zararlı URL'ler oluşturarak gerçeğe dönüştürüyor. Kurban, bu URL'lere tıkladığında kendi Facebook hesabından çıkıp, saldırganlar tarafından hazırlanan sahte hesaplara oturum açmış oluyor. Bunun yanında arka planda kullanıcının Facebook Login'i kullanan diğer web siteleri, saldırganların hazırladığı sahte Facebook hesaplarıyla bağlantılı hale getiriliyor. Böylece saldırganlar, kullanıcının üçüncü parti sitelerdeki hesaplarına erişip, parolayı değiştirebiliyor, özel mesajları okuyabiliyor ve fazlasını yapabiliyorlar.
Homakov, bu açığın Facebook tarafından onarılabileceğini söylüyor. Bununla birlikte Facebook'un eposta yoluyla yaptığı açıklamaya göre bu durum herhangi bir sorun teşkil etmiyor ve Login'i kullanan geliştiriciler, OAuth Login için sunulan "state" parametresini kullanarak bu sorunu aşabilirler.