Исследователь безопасности Нир Гольдшлагер (Nir Goldshlager) обнаружил недостаток в системе безопасности Facebook, который позволил ему получить полный контроль над любой учетной записью Facebook.
OAuth – это открытый стандарт аутентификации, используемый Facebook для взаимодействия приложений с пользователями.
Как правило, перед началом взаимодействия пользователям необходимо разрешить/принять запрос приложения на доступ к их учетной записи. Приложения Facebook могут запрашивать различные разрешения.
По словам исследователя, уязвимость дает полные права (чтение входящих и исходящих сообщений, управление страницами, управление рекламой, чтение приватных фотографий, видео и т.д.) к учетной записи жертвы.
Как заявил исследователь в своем блоге: “Чтобы атака была успешной, жертва должна использовать приложение наFacebook (Texas Holdem Poker, Diamond Dash и т.д.). Эти приложения имеют только базовые разрешения, но можно изменить поле разрешений приложения и установить новые разрешения, однако этот способ не так хорош, поскольку пользователю придется постоянно соглашаться с новыми разрешениями приложения”.
Исследователь обнаружил, что в Facebook есть встроенные приложения (Facebook Messenger), которые не спрашивают пользователя, принимает ли он разрешения, и такое приложение может, по сути, полностью контролировать вашу учетную запись.
