Seorang hacker keamanan baru-baru menemukan sebuah cacat dalam sistem Facebook yang memungkinkan pengembang untuk mengakses siapa pun akun Facebook melalui izin app.
Meskipun Facebook tetap memiliki masalah ini, Nir Goldshlager, aplikasi Web keamanan spesialis yang mencari jenis kekurangan profesional, menemukan bug otorisasi aplikasi lebih yang perlu diperbaiki, menurut blog-nya. Izin app adalah apa yang pengembang menggunakan untuk mengakses data pengguna yang dibutuhkan untuk menjalankan aplikasi mereka. Pengguna memberikan mereka akses izin ketika mereka menginstal aplikasi.
"Saya menemukan beberapa kekurangan yang lebih OAuth di Facebook, hanya menunggu untuk memperbaiki untuk posting tentang hal itu," tulis Goldshlager dalam blognya, di mana ia rinci temuannya.
Facebook tidak akan mengomentari apa yang lainnya kekurangan Goldshlager mungkin telah ditemukan tetapi mengatakan bug asli dia terdeteksi belum dimanfaatkan oleh pengembang Facebook yang sebenarnya. Perusahaan tidak mengatakan kapan Goldshlager melaporkan cacat.
"Kami memuji peneliti keamanan yang membawa masalah ini untuk perhatian kita dan untuk bertanggung jawab melaporkan bug ke Program White Hat kami. Kami bekerja dengan tim untuk memastikan bahwa kami memahami cakupan penuh dari kerentanan, yang memungkinkan kita untuk memperbaikinya tanpa bukti bahwa bug ini dieksploitasi di alam liar, "tulis perwakilan Facebook dalam sebuah e-mail ke CNET. "Karena pelaporan yang bertanggung jawab dari masalah ini ke Facebook, kita tidak memiliki bukti bahwa pengguna dipengaruhi oleh bug ini Kami telah memberikan karunia kepada peneliti berterima kasih kepada mereka atas kontribusi mereka ke Facebook Security.."
The Goldschlager bug yang ditemukan memungkinkan dia untuk mencuri token akses dan mendapatkan akses penuh ke profil sebagai pengembang. Ini termasuk pesan, manajemen halaman, manajemen iklan, foto pribadi, dan video. Hal ini diterapkan untuk profil yang tidak menginstal aplikasi tambahan karena ia bisa pergi melalui built-in aplikasi Facebook, seperti messenger, juga. Token untuk aplikasi pihak ketiga tidak berakhir kecuali korban berubah nya atau password-nya, tetapi aplikasi utusan token untuk Facebook
sumber: news.cnet.com
.gif)
"
2 comments
:o
nice info...ternyata ada yang seperti itu juga....
Posting Komentar