باگ امنیتی ورود به فیس بوک و هک اکانت ها با ابزار Reconnect

26 اسفند 1393 4483 بازدید

کسپرسکی

حتماً تاکنون با وبسایت‌هایی روبرو شده‌اید که برای استفاده از خدمات یا امتیازات آن سایت یا حداقل ثبت نظر و شرکت در گفتگوهای فنی یا عمومی می‌بایست در آن عضویت داشته باشید یا با مشخصات سرویس جیمیل، فیسبوک و ... وارد وبسایت شوید (نظیر وبسایت اشتراک گذاری فایل 4shared.com). با خواندن این مطلب متوجه می‌شوید که چگونه این موارد میتواند منجر به هک شدن اکانت شما شود.  یک محقق امنیتی، نقصی مهم در فیسبوک یافته است که به هکرها اجازه میدهد براحتی با استفاده از این ابزار ورود به وبسایت‌ها، حساب کاربری فیسبوک کاربران را هک نمایند.

 

این آسیب پذیری اگرچه این اجازه را به هکرها نمی‌دهد تا مستقیماً به کلمه عبور فیسبوک کاربران دسترسی داشته باشند، ولی هکرها می‌توانند به اکانت یا حساب کاربری فیسبوک شما از طریق سیستم ورود وبسایت‌هایی نظیر bit.ly، Mashable، Vimeo، About.me، Stumbleupon، Angel.co، و شاید وبسایت‌هایی دیگر دسترسی پیدا کنند.

 

حدوداً یکسال پیش، یک محقق امنیتی از شرکت بررسی آسیب پذیری Sakurity، این شبکه اجتماعی بزرگ یعنی فیسبوک را از وجود این باگ امنیتی مطلع ساخت اما فیسبوک این گزارش را نادیده گرفت چراکه اصلاح این مورد ممکن بود سازگاری فیسبوک با تعداد قابل توجهی وبسایت را تحت تأثیر قرار دهد.

 

این باگ امنیتی از عدم وجود سیستم محافظت در مقابل درخواست یا دسترسی جعلی درون سایتی یا Cross-Site Request Forgery (CSRF) در سه فرآیند زیر سوءاستفاده می‌نماید:

- Login یا ورود به فیسبوک

- Logout یا خروج از فیسبوک

- ارتباط از طریق سایت‌های دیگر

 

دو مورد اول به گفته Homakov «از سوی فیسبوک قابل اصلاح می‌باشد» ولی هنوز اقدامی در این خصوص صورت نگرفته است. اما مورد سوم می‌بایست از طریق وبسایت‌هایی که قابلیت ورود با حساب کاربری فیسبوک (Login with Facebook) را در اختیار کاربران خود قرار می‌دهند مورد بررسی و اصلاح قرار گیرد.

 

Reconnect، ابزاری برای هک فیسبوک!

این محقق که فیسبوک را به دلیل عدم اصلاح این آسیب پذیری مورد سرزنش قرار داده بود، اخیراً ابزاری را برای عموم منتشر نمود که RECONNECT نام دارد و که با استفاده از این باگ امنیتی به هکرها اجازه ایجاد URL یا آدرس‌هایی را می‌دهد که می‌توان از آنها بمنظور دسترسی و تحت کنترل داشتن حساب‌های فیسبوکی که از طریق Login with Facebook وارد وبسایت‌های دیگر شده اند.

Homakov  همچنین در توئیتر خود با گذاشتن پیغامی هکرها و مجرمین امنیتی را ترغیب به سودجویی از طریق این ابزار آماده نمود. وی در وبلاگ خود نیز راهنمای کامل استفاده از این ابزار را برای هکرها منتشر نموده و در انتهای آموزش نوشته «اکنون حساب کاربری فیسبوک روی سیستم ما به حساب کاربری هک شده تغییر می یابد و می‌توانیم بصورت مستقیم اقدام به تغییر ایمیل کاربری و کلمه عبور، خواندن پیغامهای خصوصی و هر اقدام دیگری روی آن حساب کاربری نماید»

 

چه باید کرد؟!

براحتی می‌توان تصور نمود که با این ابزار ساده و آماده یا در کل آسیب پذیری مربوطه در فیسبوک چطور اطلاعات کاربری و همچنین اطلاعات شخصی هر کاربری می‌تواند در دسترس دیگران بویژه افراد سودجو قرار گیرد. تنها کافی است در ذهن خود شمار وبسایت‌هایی که با آیکون معروف فیسبوک یعنی همان f آبی رنگ از شما دعوت به ورود به آن سایت می‌نمایند را مرور نمایید تا ببینید چه تعداد کاربر ممکن است در دام افراد سودجو بیافتند.

لذا، برای جلوگیری از اینکه حساب کاربری فیسبوک شما نیز قربانی این آسیب پذیری نشود، روی هیچ آدرس مشکوکی که ممکن است از راههای مختلفی نظیر پیغام‌رسان‌ها، ایمیل‌ها، یا حسابهای کاربری شبکه‌های اجتماعی برای شما ارسال گردد، کلیک ننموده و همیشه تمامی جوانب احتیاط را در محیطهای آنلاین رعایت نمایید.

 

کسپرسکی آنلاین، نماینده توزیع و فروش آنلاین محصولات کسپرسکی* در خاورمیانه، از تمامی کاربران این شبکه اجتماعی و در کل کاربران شبکه جهانی اینترنت دعوت می‌نماید مطلب آموزشی زیر را نیز بمنظور رعایت جوانب احتیاط مطالعه نمایند:

هفت ترفند برای افزایش امنیت اینترنت!

 

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.