Facebook SDK漏洞威胁百万手机用户账户

Facebook SDK漏洞威胁百万手机用户账户

黑客资讯访客2021-10-12 8:55:0012172A+A-

  研究人员发现了一个最新版的Facebook的SDK中的漏洞,该漏洞会暴露数以百万计的Facebook的用户身份认证令牌。

  Facebook对于Android和IOS的SDK提供了使用身份验证登录Facebook,读取和写入到Facebook API等许多简易方式。

  Facebook的OAuth认证或说“以Facebook账户”登录的机制,提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌,从而实现利用Facebook的API来实现读取,修改或写入用户的Facebook数据的功能。

  研究人员发现,Facebook的SDK库直接把令牌以明文格式存储在设备上,任何人都能轻易地获取Android或者IOS的加密令牌,而完全不需要root或者越狱。“在一台IOS设备上,插上USB之后,仅仅需要5秒钟,就可以通过juice jacking攻击获取到访问令牌。”研究人员称。

  除此之外,手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。

  研究人员称漏洞为“社会登录会话劫持”。该漏洞一旦被利用,便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 夙世箴词2022-06-01 12:03:12
  • S的SDK提供了使用身份验证登录Facebook,读取和写入到Facebook API等许多简易方式。  Facebook的OAuth认证或说“以Facebook账户”
  • 南殷酒奴2022-06-01 14:10:20
  • 登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌,从而实现利用Facebook的API来实现读取,修改或写入用户的Facebook数据的功能

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理