• Silahkan bergabung dengan chat kami di Telegram group kami di N3Forum - https://t.me/n3forum
  • Welcome to the Nyit-Nyit.Net - N3 forum! This is a forum where offline-online gamers, programmers and reverser community can share, learn, communicate and interact, offer services, sell and buy game mods, hacks, cracks and cheats related, including for iOS and Android.

    If you're a pro-gamer or a programmer or a reverser, we would like to invite you to Sign Up and Log In on our website. Make sure to read the rules and abide by it, to ensure a fair and enjoyable user experience for everyone.

Vulnerability Facebook OAuth Dieksploitasi Hacker (Lagi)

ON3

Mahasiswa
Journalist
Vulnerability pada Facebook timbulkan masalah keamanan baru bagi pengguna. Seorang hacker, Nir Goldshlager menulis, “I found a way in to get full permissions (read inbox, outbox, manage pages, manage ads, read private photos, videos, etc.) over the victim account even without any installed apps on the victim account…”
Goldshlager bukan kali pertama menemukanvulnerabilitypada Facebook, sebelumnya peneliti yang berasal dari Israel ini menemukan jugaOpen Redirect Vulnerabilitypada Facebook. Saat itu vulnerabilitydimaanfaatkan untuk aktivitasphishingagar pengguna mengunjungi situs yang berbahaya.
Pada blog pribadinya, ia menjelaskanbagaimana cara mengeskploitasi vulnerabilityFacebook OAuth, sebuah layanana yang digunakan oleh pengembang untuk mendapatkan persetujuan dari subscriber untuk menjalankan aplikasinya pada platform.
Sebagai contoh, jika pengguna menerima ajakan untuk bermain Words With Friends via Facebook, Facebook akan meminta persetujuan pengguna, sehingga pengembang dapat mengakses informasi melalui halaman otorisasi. Namun, sebab vulnerability pada Facebook OAuth, Goldshlagerdapat memodifikasi OAuth URL, sehinggamemungkinkan dirinya untuk me-redirect pengguna ke aplikasi yang ia rancang. Aplikasi tersebut kemudian me-redirect korban ke situs pribadinya, dimana akses token di simpan.
Untuk mengakses aplikasi tersebut sebenarnya pengguna memiliki kuasa dengan mengklik atau tidak mengklik “allow” namun langkah ini berhasil dilewati oleh Goldshlager, sehingga aplikasi dapat diakses tanpa persetujuan pengguna.
“the flaw would work until the victim changed his or her password,” jelasGoldshlager.
Terkait vulnerability, Facebook mengirimkan email kepada enam juta pengguna Facebook. Sementara, juru bicara Facebook mengatakan mereka perusahaan akan mengadakan perbaikan setelah Goldshlagermengetangahkan vulnerability.
We applaud the security researcher who brought this issue to our attention and for responsibly reporting the bug to our White Hat Program, terang juru bicara perusahaan.
“We worked with Mr Goldshlager to make sure we understood the full scope of the vulnerability, which allowed us to fix it without any evidence that this bug was exploited in the wild, Facebook’s spokesperson added. Due to the responsible reporting of this issue to Facebook, we have no evidence that users were impacted by this bug. We have provided a bounty to the researcher to thank them for their contribution to Facebook Security,” tambah juru bicara Facebook.
Perusahaan tidak menyinggung jumlah uang yang diperoleh Goldshlagersetelah menemukan vulnerability yang ada. Selain mendapatkan sejumlah uang atas penemuannya, Goldshlager jugadimasukkan pada daftar White Hat Program Facebook.

Sumber: Ciso
 
Top