5 Saniye İçerisinde Facebook Hesabınız Çalınabilir:
Facebook ve benzeri sosyal medya uygulamalarının diğer uygulamalarda oturum açmak için kullanıdığını hepimiz biliriz. Hatta bu opsiyon bizlere çok büyük kolaylık sağlar. OpenId uygulamaları ve heartbleed açıklıklarından sonra bu ID’lerin siber saldırganların tehditi altında olduğundan önceki yazılarımızda bahsetmiştik. (bknz.)
Thehackernews sitesinin son yayınladığı MetaIntell tarafından yapılan açıklık araması neticesinde Facebook SDK üzerinde önemli bir açıklık olduğu tespit edildi. Açıklık temelde Facebook kullanıcısının Authetication Token bilgisininin siber saldırganlar tarafından elde edilmesine imkan vermektedir.
1. Açıklıktan faydalanılabilmesi için herhangi bir uygulamada Facebook ile oturum açmak yeterlidir. Facebook “Login as/with Facebook” seçeneği kullanıldığında OAuth 2.0 authentication kullanarak kullanıcların kullanıcı adı / şifre girmeden 3. Parti uygulama üzerinde oturum açmasına imkan vermektedir. (OAuth ile detaylı bilgiye buradan erişebilirsiniz.)
2. OAuth 2.0 Nedir, Kullanıcı tarafından Facebook ile oturum açma seçeneği seçilerek uygulamalara giriş yapıldığında, OAuth 2.0 aracılığı ile Facebook SDK tarafından kullanıcı bilgilerini içeren token’a erişim yetkisi uygulamaya verilir. Böylece hem uygulama üzerinde oturum açılmış hem de uygulamanın token’da tutulan bilgileri kullanarak kullanıcının Facebook verilerine erişmesi sağlanmış olur.
3. Yukarıda açıkladığım OAtuh 2.0 kullanılarak bir uygulama üzerinde oturum açma ya da bir uygulamanın Facebook verilerine erişmesine izin vermede ki en önemli detay Access Token’a erişimin sadece izin verilen uygulama tarafıdan yapılmasıdır. Ancak thehackernews sitesinde de bahsedildiği gibi Facebook token’lara erişimi engellemediği gibi encrypted olarak da saklamamaktadır. Bu nedenle root yetkisi olmayan Android yada Jailbreak yapılmamış bir Iphone üzerinde kurulu basi bir FileExplorer programı aracılığı ile access token elegeçirilebilmektedir. Hatta bu işlem üçüncü parti bir yazılım aracılığı ile bile yapılabilmektedir. Bu hassasiyet “Social Login Session Hijacking” olarak adlandırılmaya başlamıştır. Konu ile ilgili olarak Watsapp, Twitter gibi sosyal medaya uygulamalarında da benzer açıklıklar önceden tespit edilmiştir.
4. Viber üzerinden Facebook Access Token erişimi ile ilgli youtube videosu:
Youtube – Viber aracılığı ile Facebook Access Token Hijacking
5. Pekala bu açıklıktan korunmak için ne yapılmalıdır?
Üçüncü parti bir mobil uygulamada oturum açarken facebook ile değil kullanıcı adı ve şifre oluşturarak oturum açma tercih edilmelidir.
stay secure, stay anonymous
Emre Çağlar HOŞGÖR
