События

Уязвимость в Account Kit оставила пользователей Tinder беззащитными против хакеров

Разработчикам приложений стоит обратить внимание на то, как они используют инструмент Account Kit от Facebook для идентификации пользователей. Ананд Пракаш (Anand Prakash) из Appsecure обнаружил в нем уязвимость, из-за которой пользователи популярного приложения для знакомств Tinder оказались открытыми для взломов.

Когда пользователь Tinder заходит в свой профиль, используя в качестве логина номер телефона, с помощью сайта AccountKit.com приложение проверяет, действительно ли он является законным владельцем учетной записи.

Система работает следующим образом. На телефон пользователя приходит текстовое сообщение с кодом подтверждения, который нужно ввести на сайте Account Kit. Сайт проверяет подлинность кода и в случае успеха отправляет Tinder токен авторизации, после чего пользователь заходит в свою учетную запись без необходимости вводить пароль. Tinder привязан к номеру телефона, и пока пользователь способен получать текстовые сообщения, он может с легкостью заходить в свой профиль.

Тем не менее, Ананд Пракаш обнаружил, что Account Kit не проверяет подлинность проверочного кода, если его API используется определенным образом. Злоумышленник может использовать номер телефона в качестве параметра new_phone_number в HTTP-запросе, отправляемом API, и тем самым избежать проверки кода, но получить при этом токен авторизации. Другими словами, можно отправить Account Kit любой номер телефона и получить токен в качестве cookie-файла в HTTP-ответе на запрос, отправленный API.

Пракаш сообщил о своем открытии Facebook и Tinder и получил от них $5 тыс. и $1,25 тыс. соответственно в рамках программ выплаты вознаграждений за обнаруженные уязвимости. Исследователь опубликовал подробности о проблеме после выхода исправлений. Никаких свидетельств эксплуатации уязвимости в реальных атаках обнаружено не было.

Источник

Автор: Сергей Куприянов
22.02.2018 (13:59)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.