reklama
Přihlásit se pomocí Facebooku. Přihlaste se pomocí Google. Webové stránky pravidelně využívají naši touhu se snadno přihlásit, abychom zajistili, že navštívíme, a zajistili, že si vezmou kousek koláče osobních údajů. Ale za jakou cenu? Výzkumník v oblasti bezpečnosti nedávno objevil zranitelnost v systému Windows Přihlásit se pomocí Facebooku na mnoha tisících webech. Podobně chyba v rozhraní názvu domény Google App vystavila veřejnost soukromým datům stovek tisíců jednotlivců.
To jsou vážné problémy, kterým čelí dvě z největších domácích technologických jmen. Přestože se s těmito otázkami bude zacházet s přiměřeným znepokojením a zranitelnostmi se opraví, je veřejnosti věnována dostatečná informovanost? Pojďme se podívat na každý případ a co to znamená pro vaši webovou bezpečnost.
Případ 1: Přihlaste se přes Facebook
Chyba zabezpečení Přihlášení pomocí Facebooku vystavuje vaše účty - nikoli však vaše skutečné heslo pro Facebook - a aplikace třetích stran, které jste nainstalovali, například Bit.ly, Mashable, Vimeo, About.me, a řada dalších.
Kritická chyba, kterou objevil Egor Homakov, výzkumný pracovník v oblasti bezpečnosti pro Sakurity, umožňuje hackerům zneužít dohled nad kódem Facebook. Vada pramení z nedostatku vhodných Padělání žádosti o více stránek (CSFR) ochrana pro tři různé procesy: Přihlášení na Facebook, Odhlášení na Facebook a Připojení k účtu třetích stran. Tato chyba zabezpečení umožňuje nechtěné straně provádět akce v rámci ověřeného účtu. Uvidíte, proč by to byl významný problém.
Přesto se Facebook dosud rozhodl udělat velmi málo pro řešení problému, protože by to ohrozilo jejich vlastní kompatibilitu s velkým počtem webů. Třetí číslo může opravit každý dotčený vlastník webu, ale první dvě leží výhradně u dveří Facebooku.
Abychom ještě více ilustrovali nedostatek činnosti Facebooku, Homakov posunul tento problém dále uvolněním hackerského nástroje s názvem RECONNECT. To zneužívá chybu a umožňuje hackerům vytvářet a vkládat vlastní adresy URL používané k únosům účtů na webech třetích stran. Homakova lze nazvat nezodpovědný za uvolnění nástroje Jaký je rozdíl mezi dobrým hackerem a špatným hackerem? [Názor]Tu a tam slyšíme něco ve zprávách o hackerech, kteří strhávají stránky, využívají a množství programů, nebo hrozí, že se kroutí do oblastí s vysokou bezpečností, kde jsou neměl by patřit. Ale pokud... Přečtěte si více , ale vina leží přímo na odmítnutí této chyby ze strany Facebooku přinesl na světlo před rokem.
Mezitím buďte ostražití. Neklikejte na nedůvěryhodné odkazy ze spamových stránek ani nepřijímejte žádosti o přátelství od lidí, které neznáte. Facebook také vydal prohlášení, které říká:
"Toto je dobře chápané chování." Vývojáři webových stránek, kteří používají přihlášení, mohou tomuto problému zabránit dodržováním našich doporučených postupů a pomocí parametru „state“, který poskytujeme pro přihlášení OAuth. “
Povzbudivý.
Případ 1a: Kdo mě nesdělil?
Ostatní uživatelé Facebooku padají za kořist pro další „službu“, která se pokouší o krádež přihlašovacích údajů třetích stran OAuth. Přihlašovací jméno OAuth je navrženo tak, aby uživatelům zabraňovalo v zadávání hesla do jakékoli aplikace nebo služby třetích stran a udržovalo bezpečnost zdi.
Služby jako UnfriendAlert kořistí pro jednotlivce, kteří se pokoušejí zjistit, kdo se vzdal svého online přátelství, a požádal jednotlivce, aby zadali své přihlašovací údaje - a poté je poslali přímo na škodlivý web yougotunfriended.com. UnfriendAlert je klasifikován jako potenciálně nežádoucí program (PUP), který záměrně instaluje adware a malware.
Facebook bohužel nemůže zcela zastavit služby jako je tato, takže je na uživatelích služeb, aby zůstali ostražití a nepadají za věci, které se zdají být pravdivé.
Případ 2: Chyba Google Apps
Naše druhá chyba zabezpečení pramení z chyby při zpracování registrací doménových jmen ve službě Google Apps. Pokud jste již někdy zaregistrovali web, budete vědět, že pro tento proces je nezbytné uvést své jméno, adresu, e-mailovou adresu a další důležité soukromé informace. Po registraci může kdokoli s dostatkem času spustit a Kdo je najít tyto veřejné informace, pokud během registrace nepožádáte o zachování osobních údajů. Tato funkce obvykle přichází za cenu a je zcela volitelná.
Ti jednotlivci, kteří registrují stránky prostřednictvím eNom a požádat soukromého Whois, aby zjistil, že jejich údaje byly během 18-ti měsíční lhůty pomalu úniky. Chyba softwaru, objevená 19. únoratis a připojeno o pět dní později, unikla soukromá data pokaždé, když byla registrace obnovena, což potenciálně vystavuje soukromé osoby jakémukoli počtu problémů s ochranou dat.
Přístup k 282 000 hromadným záznamům není snadný. Nebudete se na webu potkávat. Nyní je to však nesmazatelná vada na trati společnosti Google a je stejně nesmazatelná z rozsáhlých oblastí internetu. A pokud dokonce 5%, 10% nebo 15% jednotlivců začne dostávat vysoce cílené a škodlivé e-maily s phishingem oštěpem, vydává to balónky do velké datové bolesti hlavy pro Google i eNom.
Případ 3: Spoofed Me
Toto je více zranitelností v síti Tato chyba zabezpečení ovlivňuje každou verzi systému Windows - co s tím můžete udělat.Co byste řekli, kdybychom vám řekli, že vaše verze systému Windows je ovlivněna zranitelností, která pochází z roku 1997? Bohužel je to pravda. Microsoft to prostě nikdy neopravil. Tvůj tah! Přečtěte si více umožňující hackerovi znovu využít systémy přihlášení třetích stran využívané tolika oblíbenými weby. Hacker podá žádost s identifikovanou zranitelnou službou pomocí e-mailové adresy oběti, která je dříve zranitelné službě známa. Hacker pak může zfalšovat údaje o uživateli falešným účtem a získat přístup k sociálnímu účtu po dokončení ověření e-mailem.
Aby tento hack fungoval, musí web třetí strany podporovat alespoň jedno další přihlášení do sociální sítě pomocí jiného poskytovatele identity nebo schopnosti používat přihlašovací údaje k místním osobním webovým stránkám. Je podobný hackerům na Facebooku, ale byl zaznamenán na celé řadě webů, včetně Amazonu, LinkedIn a MYDIGIPASS mimo jiné a mohly by být potenciálně použity k přihlášení do citlivých služeb pomocí škodlivý záměr.
Není to vada, je to rys
Některé weby zapojené do tohoto režimu útoku ve skutečnosti neumožnily letět pod radarem kritickou zranitelnost: přímo do systému Dělá vaše výchozí konfigurace směrovače zranitelnost pro hackery a podvodníky?Směrovače zřídka dorazí do bezpečného stavu, ale i když jste si udělali čas na správnou konfiguraci bezdrátového (nebo kabelového) routeru, stále se může ukázat jako slabý článek. Přečtěte si více . Jedním příkladem je Twitter. Vanilla Twitter je dobrý, pokud máte jeden účet. Jakmile spravujete více účtů pro různá průmyslová odvětví a přistupujete k celé řadě publika, potřebujete aplikaci jako Hootsuite nebo TweetDeck 6 bezplatných způsobů, jak naplánovat tweetyPoužívání Twitteru je o tom tady a teď. Najdete zajímavý článek, skvělý obrázek, úžasné video, nebo možná jen chcete sdílet něco, co jste si právě uvědomili nebo na co myslíte. Buď... Přečtěte si více .
Tyto aplikace komunikují s Twitterem pomocí velmi podobného postupu přihlašování, protože také potřebují přímý přístup k vaší sociální síti a uživatelé jsou požádáni o poskytnutí stejných oprávnění. Vytváří obtížný scénář pro mnoho poskytovatelů sociálních sítí, protože aplikace třetích stran přinášejí do sociální sféry tolik, ale jasně vytvářejí nepříjemnosti v zabezpečení pro uživatele i poskytovatele.
Zátah
Zjistili jsme tři a slabé slabiny sociálního přihlášení, které byste nyní měli být schopni identifikovat a snad se jim vyhnout. Hackeři sociálního přihlášení nebudou přes noc vyschnout. potenciální návratnost pro hackery 4 nejlepší hackerské skupiny a co chtějíJe snadné si představit hackerské skupiny jako nějaký romantický revolucionář v zadní místnosti. Ale kdo to vlastně je? Co znamenají a jaké útoky provedli v minulosti? Přečtěte si více je příliš velký, a když masivní technologie společnosti jako Facebook odmítají jednat v nejlepším zájmu uživatelů, v zásadě otevírá dveře a umožňuje jim utírat si nohy na soukromí dat rohožka.
Došlo ke kompromitaci vašeho sociálního účtu třetí stranou? Co se stalo? Jak jsi se zotavil?
Obrázek Kredit:binární kód Přes Shutterstock, Struktura prostřednictvím Pixabay
Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřený sesterský web, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancovaný z kopců Devonu, stejně jako více než deset let profesionálního psaní. Užívá si hojného množství čaje.