<p></p><p>Perusahaan MetaIntell menemukan vulnerability pada Facebook SDK (V3.15.0) untuk iOS dan Android. Hal ini dikenal dengan nama Social Login Session Hijacking, karena ketika dieksploitasi vulnerability dapat menyebabkan penyerang mendapatkan akses kepada akun pengguna Facebook dengan metode pembajakan yang memanfaatkan Facebook Access Token (FAT). </p><p>Seperti yang dikutip dari Net Security pada Senin (01/07), vulnerability pada aplikasi Facebook di iOS dan Android terdapat pada Facebook SDK dan memanfaatkan Facebook untuk otentikasi pengguna. Setelah aplikasi telah berhasil dikonfirmasi untuk Facebook, token sesi lokal disimpan dan digunakan untuk otentikasi sesi selanjutnya. Penyimpanan yang tidak aman pada token sesi ini adalah tempat dimana aplikasi ditempatkan menggunakan Facebook SDK untuk otentikasi pengguna. </p><p>Facebook SDK sendiri adalah integrated libraries yang digunakan oleh developer aplikasi untuk iOS dan Android. Secara spesifik, MetaIntell telah mengidentifikasi bahwa dari 100 aplikasi gratis iOS yang menggunakan Facebook SDK, 71 diantaranya memiliki vulnerability dan berdampak terhadap 1,2 juta aplikasi yang diunduh. </p><p>Peneliti dan Kepala Arsitek MetaIntell, Chilik Tamir, yang mengidentifikasi vulnerability mengakui bahwa sulit untuk mengukur dampak dari vulnerability ini. “Sulit untuk mengukur kegunaan dari masalah ini karena tidak semua aplikasi pada iOS dan Android menggunakan Facebook SDK,” kata Tamir. </p><p>“Namun, dari analisis kami, SDK secara luas digunakan dan vulnerability, merupakan ancaman besar karena membuka pintu untuk membuat kerusakan besar terhadap reputasi dan citra baik secara individu maupun organisasi.” Tamir menambahkan. </p><p>MataIntell menemukan vulnerability ini pada Mei 2014, lalu Tamir dan timnya timnya melakukan penelitian lebih lanjut untuk mengkonfirmasi dan mengevaluasi dampak yang bisa ditimbulkan dari vulnerability ini. Selanjutnya vulnerability dan hasil temuan penelitian dilaporkan ke Facebook dalam waktu dua minggu setelah waktu penemuan awal.</p><p>MetaIntell merekomendasikan kepada pengguna iOS dan Android untuk memitigasi resiko dari Social Login Session Hijacking dengan tidak melanjutkan penggunaan Facebook login melalui aplikasi third party. MetaIntell juga merekomendasikan staf IT untuk mengingatkan pekerjanya tentang vulnerability ini. </p>