La vulnerabilità riguarda il token. Chi sviluppa applicazioni per Facebook può accedere alle informazioni degli utenti e da qui è possibile prendere dati sensibili. Facebook ha aggiornato il sistema di autenticazione ma se un hacker sviluppa un’applicazione pericolosa, può accedere ai vostri dati se voi accettate l’applicazione. Gli esperti di sicurezza sconsigliano di autorizzare troppe applicazioni. I dettagli tecnici di questo attacco in inglese li ha forniti Symantec, Un’applicazione di Facebook ha al suo interno un IFRAME verso un sito esterno. L’utente inconsapevolmente quindi si presenta ad un sito esterno (attaccante) presentando il suo TOKEN. L’attaccante che a questo punto leggendo i log del suo sito trova il TOKEN e lo può usare su facebook.com, per fare un esempio, nel seguente modo:
http://facebook.com/index.php?token=token_utente&photo=1
a questo punto può accedere alle foto dell’utente, anche se sono private, leggere e scrivere in chat, messaggi privati, la bacheca ecc. ecc. I token dovrebbero scadere dopo poco tempo, ma è possibile non farli scadere mai, facendoli diventare di tipo offline. Facebook ha così rilasciato una nuova versionedi autenticazione, la OAUTH2.0. Per chi vuole sviluppare un’applicazione di test, dovrà usare una versione obsoleta delle API di Facebook unitamente ai parametri return_session=1 e session_version=3, il social network a questo punto restuisce il “token” inviando una richiesta HTTP contenente proprio il “token” stesso all’interno dell’URL. Nishant Doshi, famosissimo specialista di Symantec ha affermato:
“Non c’è modo di stimare quanti token possono essere stati sottratti dal 2007 – l’anno di lancio delle applicazioni Facebook – sino ad oggi”, ha concluso Doshi. “Temiamo però che alcuni di questi token possano essere ancora conservati nei file di log dei server web gestiti da terzi od ancora utilizzati da società esterne che hanno interesse nel profilare l’utenza del social network. Gli utenti registrati a Facebook che fossero preoccupati per questa problematica, possono modificare la propria password d’accesso per invalidare tutti i token eventualmente sottratti“. Intanto, questi giorni sono state rubate e pubblicate le password di milioni di utenti di Facebook e pubblicate in questa lista.
fonte http://www.become-hacker.com
