Ο γνωστός μας από προηγούμενη δημοσίευση ερευνητής ασφαλείας Nir Goldshlager, κατάφερε να εντοπίσει ακόμη μια ευπάθεια στο Facebook OAuth που μπορεί να αξιοποιηθεί για να αποκτήσει πρόσβαση σε οποιοδήποτε λογαριασμό.
Στη προηγούμενη μέθοδο επίθεσης που παρουσίασε τον περασμένο Φεβρουάριο, ο εμπειρογνώμονας χρησιμοποίησε το APP_ID του Facebook Messenger για να αποκτήσει πλήρη πρόσβαση σε όποιον λογαριασμό επιθυμούσε.
Το Facebook ασχολήθηκε με το θέμα και έκανε αλλαγές στην προστασία χρησιμοποιώντας το regex, αλλά Goldshlager αναφέρει ότι ανακάλυψε μια νέα μέθοδο που του επιτρέπει να εκμεταλλευτεί το Facebook Messenger APP_ID.
Εκτός από αυτή την ευπάθεια, έχει βρει επίσης έναν άλλο τρόπο που του επιτρέπει να παρακάμπτει την προστασία OAuth regex, αλλά η δεύτερη μέθοδος λειτουργεί μόνο για επιθέσεις εναντίον μελών του Facebook που χρησιμοποιούν τον Firefox.
Και τα δύο θέματα ασφαλείας έχουν καθοριστεί από το Facebook αμέσως μετά την αναφορά τους.
Πλήρης τεχνικές λεπτομέρειες της ευπάθειας είναι διαθέσιμα στο blog του Nir Goldshlager.