Nguy cơ khi sử dụng tài khoản Facebook cho các ứng dụng bên thứ 3

[WhiteHat News #ID:86]

Các chuyên gia của hãng CodeBibber vừa tình cờ phát hiện ra một nguy cơ an ninh trên giao thức đăng nhập của Facebook, vốn được các website sử dụng để xác thực người dùng. Lỗ hổng có thể khiến dữ liệu người dùng bị “phơi bày” trên nhiều nền tảng khác nhau.

Nói một cách đơn giản, chỉ cần người sử dụng lựa chọn “Đăng nhập bằng Facebook” (Login Through Facebook) trên bất kỳ website hay ứng dụng mobile nào, họ đã đặt các tài khoản khác từng sử dụng Facebook để đăng nhập trước nguy cơ bị lộ lọt, như các ứng dụng Zomato, Foodpanda, Snapdeal.

Có thể hình dung, bạn đăng nhập ứng dụng X bằng tài khoản Facebook. Khi đó, X sẽ nhận một token truy cập từ Facebook và gửi token này đến server của X.

Bây giờ, X có thể sử dụng chính token này để giả bạn đăng nhập vào bất kỳ nền tảng khác, truy cập các dữ liệu người dùng như những đặt hàng gần đây trên ứng dụng nhà hàng Zomato, lịch sử mua sắm trên Snapdeal, đến đọc những tin nhắn riêng tư của bạn, và có thể còn nhiều hơn nữa.

Trong khi vấn đề này còn chưa được giải quyết, người sử dụng Facebook cần cân nhắc kỹ trước khi quyết định sử dụng tài khoản Facebook cho các ứng dụng khác.

Theo: Latest Hacking News​