Facebook SDK漏洞威胁百万手机用户账户

  研究人员发现了一个最新版的Facebook的SDK中的漏洞,该漏洞会暴露数以百万计的Facebook的用户身份认证令牌。

  Facebook对于Android和IOS的SDK提供了使用身份验证登录Facebook,读取和写入到Facebook API等许多简易方式。

  Facebook的OAuth认证或说“以Facebook账户”登录的机制,提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌,从而实现利用Facebook的API来实现读取,修改或写入用户的Facebook数据的功能。

  研究人员发现,Facebook的SDK库直接把令牌以明文格式存储在设备上,任何人都能轻易地获取Android或者IOS的加密令牌,而完全不需要root或者越狱。“在一台IOS设备上,插上USB之后,仅仅需要5秒钟,就可以通过juice jacking攻击获取到访问令牌。”研究人员称。

  除此之外,手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。

  研究人员称漏洞为“社会登录会话劫持”。该漏洞一旦被利用,便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:传微软2亿美元收购网络安全公司Aorato