Hacker krijgt opnieuw volledige toegang tot Facebookaccounts

PHOTO_NEWS
Een computerexpert die eind februari een lek in Facebook publiceerde waarmee hij volledige toegang tot accounts kon krijgen, heeft ook de bijgewerkte beveiliging kunnen omzeilen. Facebook heeft ook het nieuwe lek gedicht, meldt Tweakers.net.

Eind februari publiceerde beveiligingsexpert Nir Goldshlager een manier om Facebooks OAuth-authenticatie te omzeilen. Door ingelogde gebruikers op een speciaal vervaardigde site te laten klikken, kreeg hij volledige toegang tot accounts en kon hij privéberichten lezen en afgeschermde foto's zien.

Hij slaagde hierin door te doen alsof er een app werd geïnstalleerd en door de URL aan te passen die de OAuth-dienst aanlevert als gebruikers toestemming geven bij de installatie. Gebruikers hoefden geen toestemming te geven voor de installatie van een app, en met de speciaal vervaardigde site wist hij zo de authenticatietokens te vangen. Facebook verhielp de kwestbaarheid snel en beloonde Goldshlager voor zijn melding.

Nieuwe manier
De hacker vond echter een manier om de nieuwe beveiliging tegen het kapen van de authenticatietokens te omzeilen. Hij maakte daarbij gebruik van redirects van Facebook bij de plaatsing van meer dan één hekje in URL's. Ook kwam hij erachter dat gebruikers door te sluizen waren naar het domein facebook.facebook.com, waar Facebook redirects naar onbekende domeinen of zijn hoofddomeinen blokkeert. Facebook staat wel redirects naar mobiele domeinen als m.facebook.com toe, maar dan zijn de twee of meer hekjes in de url's weer niet zichtbaar. Bij facebook.facebook.com was dat wel het geval en via het, in de woorden van Goldshlager, 'vreemde redirection-gedrag' met diverse hekjes in de url, wist hij accounts door te verwijzen naar zijn eigen site, waarbij hij opnieuw de authenticatietokens kon onderscheppen.

Opnieuw kreeg hij daarmee volledige toegang tot Facebookaccounts, waarbij hij benadrukt dat slachtoffers van de hack nooit eerder applicaties geaccepteerd hoeven te hebben voor een succesvolle overname. Wel kan steeds één account tegelijk worden overgenomen. Goldshlager zegt zijn methode op 6 maart uit de doeken gedaan te hebben, waarna Facebook de kwetsbaarheid direct ongedaan maakte. Hij beschrijft de 'proof of concept' op zijn site.