Car-tech

Η ευπάθεια θα επέτρεπε σε έναν δυνητικό εισβολέα να κλέψει ευαίσθητα στοιχεία που είναι γνωστά ως μάρκες πρόσβασης OAuth. Το Facebook χρησιμοποιεί το πρωτόκολλο OAuth για να δώσει πρόσβαση σε εφαρμογές τρίτων στους λογαριασμούς χρηστών μετά την έγκρισή τους από τους χρήστες. Κάθε εφαρμογή διαθέτει ένα μοναδικό διακριτικό πρόσβασης για κάθε λογαριασμό χρήστη

Ν. Ξυδάκης στο One Channel: Η διεύρυνση του ΣΥΡΙΖΑ συντελέστηκε το 2012

Ν. Ξυδάκης στο One Channel: Η διεύρυνση του ΣΥΡΙΖΑ συντελέστηκε το 2012

Πίνακας περιεχομένων:

Anonim

Η Goldshlager βρήκε μια ευπάθεια στις ιστοσελίδες του Facebook για κινητές συσκευές και συσκευές με δυνατότητα αφής που προέρχονται από ακατάλληλες απολύμανση διαδρομών URL. Αυτό επέτρεψε σε αυτόν να σχεδιάσει διευθύνσεις URL που θα μπορούσαν να χρησιμοποιηθούν για να κλέψουν το διακριτικό πρόσβασης για κάθε εφαρμογή που είχε εγκαταστήσει ένας χρήστης στο προφίλ τους.

Ενώ οι περισσότερες εφαρμογές στο Facebook είναι εφαρμογές τρίτου μέρους που χρειάζονται οι χρήστες για να εγκρίνουν χειροκίνητα, υπάρχουν λίγες ενσωματωμένες εφαρμογές που έχουν εγκριθεί εκ των προτέρων. Μια τέτοια εφαρμογή είναι το Facebook Messenger. το αναγνωριστικό πρόσβασης δεν λήγει εκτός αν ο χρήστης αλλάξει τον κωδικό πρόσβασης και έχει εκτεταμένα δικαιώματα πρόσβασης στα δεδομένα λογαριασμού.

Το Facebook Messenger μπορεί να διαβάζει, να στέλνει, να ανεβάζει και να διαχειρίζεται μηνύματα, ειδοποιήσεις, φωτογραφίες, μηνύματα ηλεκτρονικού ταχυδρομείου, βίντεο και πολλά άλλα. Η ευπάθεια χειρισμού URL που εντοπίστηκε στα m.facebook.com και touch.facebook.com θα μπορούσε να έχει εκμεταλλευτεί για να κλέψει το διακριτικό πρόσβασης του χρήστη για το Facebook Messenger, το οποίο θα έδινε στον εισβολέα πλήρη πρόσβαση στον λογαριασμό, δήλωσε ο Goldshlager. by bug-hunter

Η διεύθυνση URL επίθεσης θα μπορούσε να έχει μειωθεί με μία από τις πολλές υπηρεσίες συντομεύσεων URL και να σταλεί στους χρήστες που μεταμφιέζονται ως σύνδεσμος σε κάτι άλλο. Η επίθεση θα είχε επίσης ενεργοποιηθεί σε λογαριασμούς που επέτρεψαν την επαλήθευση ταυτότητας δύο παραγόντων του Facebook, δήλωσε ο Goldshlager.

Με το αναγνωριστικό πρόσβασης και το αναγνωριστικό χρήστη Facebook, ένας εισβολέας μπορεί να εξάγει πληροφορίες από το λογαριασμό χρήστη χρησιμοποιώντας τον Explorer API Graph εργαλείο για τους προγραμματιστές που είναι διαθέσιμος στο site του Facebook, η Goldshlager δήλωσε την Παρασκευή μέσω ηλεκτρονικού ταχυδρομείου.

Σύμφωνα με τον Goldshlager, η Ομάδα Ασφαλείας του Facebook διαμόρφωσε την ευπάθεια. "Το Facebook έχει μια επαγγελματική ομάδα ασφάλειας και διορθώνουν τα θέματα πολύ γρήγορα", δήλωσε.

"Καλωσορίζουμε τον ερευνητή της ασφάλειας, ο οποίος έφερε αυτό το ζήτημα στην προσοχή μας και υπεύθυνα αναφέροντας το σφάλμα στο White Hat Πρόγραμμα μας", εκπρόσωπος του Facebook δήλωσε η Παρασκευή μέσω ηλεκτρονικού ταχυδρομείου. "Συνεργαστήκαμε με την ομάδα για να σιγουρευτούμε ότι κατανοήσαμε το πλήρες εύρος της ευπάθειας, η οποία μας επέτρεψε να το διορθώσουμε χωρίς καμία ένδειξη ότι αυτό το σφάλμα εκμεταλλεύτηκε σε άγρια ​​κατάσταση. Λόγω της υπεύθυνης αναφοράς αυτού του τεύχους στο Facebook, δεν έχουμε στοιχεία ότι οι χρήστες επηρεάστηκαν από αυτό το σφάλμα. Έχουμε δώσει μια γενναιοδωρία στον ερευνητή για να τους ευχαριστήσουμε για τη συμβολή τους στην Facebook Security.

Ο ερευνητής ισχυρίζεται ότι βρήκε επίσης και άλλα ευπάθειες που σχετίζονται με το OAuth που επηρεάζουν το Facebook, αλλά αρνήθηκαν να αποκαλύψουν οποιαδήποτε πληροφορία γι '

Το Facebook τρέχει ένα πρόγραμμα bounty bug μέσω του οποίου πληρώνει χρηματικές ανταμοιβές σε ερευνητές ασφαλείας που βρίσκουν και υπεύθυνα αναφέρουν τις ευπάθειες που επηρεάζουν το site.

Η Goldshlager δήλωσε στο Twitter ότι δεν έχει πληρώσει ακόμα από το Facebook για αναφέροντας αυτήν την ευπάθεια, αλλά σημείωσε ότι η έκθεσή του περιελάμβανε πολλαπλές ευπάθειες και ότι πιθανότατα θα λάβει την ανταμοιβή μετά την αποκατάσταση όλων.

Το Facebook καταβάλλει τους ερευνητές ασφαλείας πολύ καλά για την εύρεση και αναφορά σφαλμάτων, δήλωσε ο Goldshlager μέσω ηλεκτρονικού ταχυδρομείου. "Δεν μπορώ να πω πόσο, αλλά πληρώνουν περισσότερο από κάθε άλλο πρόγραμμα bounty bug που γνωρίζω."

Ενημερώθηκε στις 11:55 π.μ. PT για να συμπεριλάβει ένα σχόλιο από το Facebook

Μια απάτη ηλεκτρονικού "ψαρέματος" (Phishing) κυκλοφορεί στο Twitter, η οποία στοχεύει να κλέψει τα διαπιστευτήρια σύνδεσης των χρηστών και στη συνέχεια να προωθήσει μηνύματα απάτης σε όλους τους φίλους τους, με την ελπίδα να τους εξαπατήσουν επίσης. μήνυμα - ένα που αποστέλλεται απευθείας μεταξύ δύο χρηστών Twitter - που διαβάζει "ROFL αυτό εδώ;" και φαίνεται να συνδέεται με έναν ιστότοπο βίντεο. Όταν ο θύμα κάνει κλικ στον σύνδεσμο, αποστέλλεται σε μια πλαστή σελίδα Twitter

Μια απάτη ηλεκτρονικού "ψαρέματος" (Phishing) κυκλοφορεί στο Twitter, η οποία στοχεύει να κλέψει τα διαπιστευτήρια σύνδεσης των χρηστών και στη συνέχεια να προωθήσει μηνύματα απάτης σε όλους τους φίλους τους, με την ελπίδα να τους εξαπατήσουν επίσης. μήνυμα - ένα που αποστέλλεται απευθείας μεταξύ δύο χρηστών Twitter - που διαβάζει "ROFL αυτό εδώ;" και φαίνεται να συνδέεται με έναν ιστότοπο βίντεο. Όταν ο θύμα κάνει κλικ στον σύνδεσμο, αποστέλλεται σε μια πλαστή σελίδα Twitter

[Περαιτέρω ανάγνωση : Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows

Οι λήψεις καθημερινών προγραμμάτων Firefox μειώθηκαν κατά 63% κατά τη διάρκεια των σχεδόν 15 μηνών που η Microsoft απέτυχε να δείξει στους χρήστες του Windows 7 Service Pack 1 μια οθόνη επιλογής προγράμματος περιήγησης βάσει δικαστηρίου, σύμφωνα με τα στοιχεία της Mozilla. Η Microsoft συμφώνησε να παρουσιάσει στους νέους χρήστες των Windows μια οθόνη που τους επέτρεπε να επιλέξουν ένα πρόγραμμα περιήγησης που θα εγκαθιστούσε αντί για, ή εκτός από τον Internet Explorer. Η Microsoft θα έπρεπε να π

Οι λήψεις καθημερινών προγραμμάτων Firefox μειώθηκαν κατά 63% κατά τη διάρκεια των σχεδόν 15 μηνών που η Microsoft απέτυχε να δείξει στους χρήστες του Windows 7 Service Pack 1 μια οθόνη επιλογής προγράμματος περιήγησης βάσει δικαστηρίου, σύμφωνα με τα στοιχεία της Mozilla. Η Microsoft συμφώνησε να παρουσιάσει στους νέους χρήστες των Windows μια οθόνη που τους επέτρεπε να επιλέξουν ένα πρόγραμμα περιήγησης που θα εγκαθιστούσε αντί για, ή εκτός από τον Internet Explorer. Η Microsoft θα έπρεπε να π

Η απουσία της οθόνης επιλογής του προγράμματος περιήγησης από νέες ή ενημερωμένες εγκαταστάσεις των Windows 7 είχε μεγάλο αντίκτυπο στις λήψεις του Firefox, σύμφωνα με ένα blog postby τον γενικό σύμβουλο και τον αντιπρόεδρο των επιχειρησιακών υποθέσεων της Mozilla, Harvey Anderson. [Περισσότερες πληροφορίες: Τα καλύτερα μας κόλπα για τα Windows 10, συμβουλές και βελτιώσεις]

Επιπλέον, δεν είναι σκόπιμο να χρησιμοποιείτε τυχαίους κοινούς κωδικούς πρόσβασης όπως "κωδικό πρόσβασης" "Qwerty", "spiderman123" κλπ. Οι επιτιθέμενοι μπορούν εύκολα να εισέλθουν στο λογαριασμό σας χρησιμοποιώντας το Brute Force εάν χρησιμοποιείτε τόσο απλούς και εύκολους για να μαντέψετε κωδικούς πρόσβασης. Από την αγορά στα τραπεζικά, στους κοινωνικούς λογαριασμούς σας - χρησιμοποιώντας ξεχωριστούς ισχυρούς κωδικούς πρόσβασης είναι η κύρια υπεράσπισή σας.

Επιπλέον, δεν είναι σκόπιμο να χρησιμοποιείτε τυχαίους κοινούς κωδικούς πρόσβασης όπως "κωδικό πρόσβασης" "Qwerty", "spiderman123" κλπ. Οι επιτιθέμενοι μπορούν εύκολα να εισέλθουν στο λογαριασμό σας χρησιμοποιώντας το Brute Force εάν χρησιμοποιείτε τόσο απλούς και εύκολους για να μαντέψετε κωδικούς πρόσβασης. Από την αγορά στα τραπεζικά, στους κοινωνικούς λογαριασμούς σας - χρησιμοποιώντας ξεχωριστούς ισχυρούς κωδικούς πρόσβασης είναι η κύρια υπεράσπισή σας.

Και σε κάθε περίπτωση, είτε πρόκειται για κωδικό πρόσβασης Wi-Fi, είτε για καθαρό τραπεζικό κωδικό πρόσβασης ή τον κωδικό πρόσβασης του υπολογιστή σας, και εκεί μπορεί να βοηθήσει μια γεννήτρια κωδικών πρόσβασης. Σε αυτή τη θέση θα ρίξουμε μια ματιά σε μερικές από τις ελεύθερες ασφαλείς γεννήτριες κωδικών πρόσβασης που είναι διαθέσιμες στο Διαδίκτυο.