记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

白帽子讲诉:我是如何黑进Facebook再登陆到Uber、Ola、Zomato、Snapdeal等应用

2015-06-25 04:20

分享到:

http://hackdig-h.stor.sinaapp.com/pictures/month_1506/201506250420178482.jpg

在我们的新合资公司TOTUM的研究项目中,我们围绕破解Facebook登录,寻找替代登录方法。文中提到的漏洞,是我们发现了一个重大的安全漏洞,它会殃及多个平台的用户数据。

简单地说,只要你选择“通过Facebook登录”选项登录任何网站或移动应用程序,你就暴漏了曾使用“通过Facebook登录”选项登录过的所有其他帐户,比如Uber,Snapdeal,Zomato或Foodpanda等应用。

Facebook登录工作流程

t01b9d1d1b6b0dd8879.png


安全漏洞

比方说,你通过Facebook登录到X程序。 X程序将收到来自Facebook的访问令牌,并将其发送到X应用的服务器,同时X程序会保存它。

但现在X可以使用相同的访问令牌,登录到任何你使用这种方式登录过的网站或应用,冒充并访问你的数据。这些信息可以是你最近在Zomato订单,Snapdeal购买记录,甚至还可以获得用户的私人信息。这样的例子不胜枚举。

我们测试了这个安全漏洞是在我们TOTUM应用程序上试运行,让我们吃惊的是,通过我们从Facebook的截取的访问令牌,我们可以访问该用户的整个帐户历史上一系列的主流应用Zomato, Foodpanda,Snapdeal等。

t01a610448374f04f0d.png

邪恶计划

我们最初想做一个谷歌浏览器插件,可以在浏览之前检查网页,并且模糊掉已经发布的GOT(权力游戏)的相关信息,让你读不到剧透。

我们的猜测这个插件一定会很受欢迎。不过,这个插件被感染了病毒,从不同的网站读取你的Facebook的访问令牌和用户数据。这给了我们大量的账户,实现我们的攻击。可是天才而又善良的灵魂并不想将漏洞发布出去,只是想告诉经常使用“通过Facebook登录”的用户,虽然这样可以节省2分钟,但是这样做的后果十分严重。

深思

你是否曾想过,你曾创建的每个在线帐户,可能被某一个应用程序滥用?再想想,如果任何人都可以使用你的Uber账号预定车辆,并使用你的钱包PayTM支付,这是不是很吓人?

Facebook已经获得了所有提供“通过Facebook登录”选项平台上的有关信息。因此,他们可以从所有平台随时获取感兴趣的信息。

综上,在这个问题解决之前,你的网上隐私信息都是待价而沽的。

[本文由莫希特Bagga,联合创始人兼CTO @ Codebibber&Tajinder帕尔·辛格查哈尔贡献]

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://inc42.com/buzz/facebook-login-breached/

知识来源: bobao.360.cn/learning/detail/472.html

阅读:90768 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“白帽子讲诉:我是如何黑进Facebook再登陆到Uber、Ola、Zomato、Snapdeal等应用”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云