5 Saniye İçerisinde Facebook Hesabınız Çalınabilir:

   9 Temmuz 2014   757 kere okundu.      Ipucu - Security

Oauth_logoFacebook ve benzeri sosyal medya uygulamalarının diğer uygulamalarda oturum açmak için kullanıdığını hepimiz biliriz. Hatta bu opsiyon bizlere çok büyük kolaylık sağlar. OpenId uygulamaları ve heartbleed açıklıklarından sonra bu ID’lerin siber saldırganların tehditi altında olduğundan önceki yazılarımızda bahsetmiştik. (bknz.)

Thehackernews sitesinin son yayınladığı MetaIntell tarafından yapılan açıklık araması neticesinde Facebook SDK üzerinde önemli bir açıklık olduğu tespit edildi. Açıklık temelde Facebook kullanıcısının Authetication Token bilgisininin siber saldırganlar tarafından elde edilmesine imkan vermektedir.

login with Facebook

 

1. Açıklıktan faydalanılabilmesi için herhangi bir uygulamada Facebook ile oturum açmak yeterlidir. Facebook “Login as/with Facebook” seçeneği kullanıldığında OAuth 2.0 authentication kullanarak kullanıcların kullanıcı adı / şifre girmeden 3. Parti uygulama üzerinde oturum açmasına imkan vermektedir. (OAuth ile detaylı bilgiye buradan erişebilirsiniz.)

2. OAuth 2.0 Nedir, Kullanıcı tarafından Facebook ile oturum açma seçeneği seçilerek uygulamalara giriş yapıldığında, OAuth 2.0 aracılığı ile Facebook SDK tarafından kullanıcı bilgilerini içeren token’a erişim yetkisi uygulamaya verilir. Böylece hem uygulama üzerinde oturum açılmış hem de uygulamanın token’da tutulan bilgileri kullanarak kullanıcının Facebook verilerine erişmesi sağlanmış olur.

Pseudo-Authentication-OAuth

3. Yukarıda açıkladığım OAtuh 2.0 kullanılarak bir uygulama üzerinde oturum açma ya da bir uygulamanın Facebook verilerine erişmesine izin vermede ki en önemli detay Access Token’a erişimin sadece izin verilen uygulama tarafıdan yapılmasıdır. Ancak thehackernews sitesinde de bahsedildiği gibi Facebook token’lara erişimi engellemediği gibi encrypted olarak da saklamamaktadır. Bu nedenle root yetkisi olmayan Android yada Jailbreak yapılmamış bir Iphone üzerinde kurulu basi bir FileExplorer programı aracılığı ile access token elegeçirilebilmektedir. Hatta bu işlem üçüncü parti bir yazılım aracılığı ile bile yapılabilmektedir. Bu hassasiyet “Social Login Session Hijacking” olarak adlandırılmaya başlamıştır. Konu ile ilgili olarak Watsapp, Twitter gibi sosyal medaya uygulamalarında da benzer açıklıklar önceden tespit edilmiştir.

 

4. Viber üzerinden Facebook Access Token erişimi ile ilgli youtube videosu:

1399461466_youtube_square_color Youtube – Viber aracılığı ile Facebook Access Token Hijacking

 

 

5. Pekala bu açıklıktan korunmak için ne yapılmalıdır?

Üçüncü parti bir mobil uygulamada oturum açarken facebook ile değil kullanıcı adı ve şifre oluşturarak oturum açma tercih edilmelidir.

 

stay secure, stay anonymous

Emre Çağlar HOŞGÖR


Yorum Yapmak İster Misiniz?

A

@

W