Vulnerability Facebook OAuth Dieksploitasi Hacker (Lagi)

Discussion in 'Berita Online' started by ON3, Jun 24, 2013.

Discuss Vulnerability Facebook OAuth Dieksploitasi Hacker (Lagi) in the Berita Online area at Nyit-Nyit.Net

  1. ON3 Mahasiswa Journalist

    Messages:
    17,687
    Likes Received:
    54
    Trophy Points:
    48
    [​IMG]
    Vulnerability pada Facebook timbulkan masalah keamanan baru bagi pengguna. Seorang hacker, Nir Goldshlager menulis, “I found a way in to get full permissions (read inbox, outbox, manage pages, manage ads, read private photos, videos, etc.) over the victim account even without any installed apps on the victim account…”
    Goldshlager bukan kali pertama menemukanvulnerabilitypada Facebook, sebelumnya peneliti yang berasal dari Israel ini menemukan jugaOpen Redirect Vulnerabilitypada Facebook. Saat itu vulnerabilitydimaanfaatkan untuk aktivitasphishingagar pengguna mengunjungi situs yang berbahaya.
    Pada blog pribadinya, ia menjelaskanbagaimana cara mengeskploitasi vulnerabilityFacebook OAuth, sebuah layanana yang digunakan oleh pengembang untuk mendapatkan persetujuan dari subscriber untuk menjalankan aplikasinya pada platform.
    Sebagai contoh, jika pengguna menerima ajakan untuk bermain Words With Friends via Facebook, Facebook akan meminta persetujuan pengguna, sehingga pengembang dapat mengakses informasi melalui halaman otorisasi. Namun, sebab vulnerability pada Facebook OAuth, Goldshlagerdapat memodifikasi OAuth URL, sehinggamemungkinkan dirinya untuk me-redirect pengguna ke aplikasi yang ia rancang. Aplikasi tersebut kemudian me-redirect korban ke situs pribadinya, dimana akses token di simpan.
    Untuk mengakses aplikasi tersebut sebenarnya pengguna memiliki kuasa dengan mengklik atau tidak mengklik “allow” namun langkah ini berhasil dilewati oleh Goldshlager, sehingga aplikasi dapat diakses tanpa persetujuan pengguna.
    “the flaw would work until the victim changed his or her password,” jelasGoldshlager.
    Terkait vulnerability, Facebook mengirimkan email kepada enam juta pengguna Facebook. Sementara, juru bicara Facebook mengatakan mereka perusahaan akan mengadakan perbaikan setelah Goldshlagermengetangahkan vulnerability.
    We applaud the security researcher who brought this issue to our attention and for responsibly reporting the bug to our White Hat Program, terang juru bicara perusahaan.
    “We worked with Mr Goldshlager to make sure we understood the full scope of the vulnerability, which allowed us to fix it without any evidence that this bug was exploited in the wild, Facebook’s spokesperson added. Due to the responsible reporting of this issue to Facebook, we have no evidence that users were impacted by this bug. We have provided a bounty to the researcher to thank them for their contribution to Facebook Security,” tambah juru bicara Facebook.
    Perusahaan tidak menyinggung jumlah uang yang diperoleh Goldshlagersetelah menemukan vulnerability yang ada. Selain mendapatkan sejumlah uang atas penemuannya, Goldshlager jugadimasukkan pada daftar White Hat Program Facebook.

    Sumber: Ciso
     

    Gunakan jasa Rekber N3 untuk menjamin jual beli anda atau menghindari penipuan dengan meng klik disini

Share This Page