Facebook Vulnerabilities Allow Hackers to Steal Access Tokens and Hijack Account
មានអ្នកប្រើប្រាស់ច្រើនជាង ១០០លាននាក់ដែលប្រើប្រាស់កម្មវិធី Facebook Mobile។ Facebook បានធ្វើការជួសជុល កំហុសឆ្គងជាច្រើន នៅក្នុងកម្មវីធីរបស់ខ្លួនដែលដំណើរការនៅក្នុង Android ដែលអាចអនុញ្ញាតឲ្យ hackers លួចយកនូវ access tokens រួចមកលួចចូលទៅក្នុង account របស់អ្នក។
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព៏័ត៌មានជនជាតិអេហ្សីបឈ្មោះថា Mohamed Ramada ដែលធ្វើការជាមួយនឹងក្រុមហ៊ុន Attack Secure បានបញ្ចេញនូវចំនុចខ្សោយមួយចំនួន ទាក់ទងទៅនឹង Facebook Main App និង Facebook Messenger និង Facebook Page’s Manager ដំណើរការនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Android។
User’s Access Token គឺជាកូនសោរមួយសម្រាប់ធ្វើការភ្ជាប់ទៅកាន់គណនី Facebook ណាមួយ ហើយបើយោងទៅតាមគាត់និយាយ គឺអ្នកវាយប្រហារគ្រាន់តែផ្ញើរសារដែលមានភ្ជាប់ជាមួយនូវឯកសារ ប្រភេទជា video, documents និង pictures ជាដើម។ នៅពលដែលជនរងគ្រោះ ចុចទៅលើឯកសារនោះដើម្បីទាញយក នោះ access_token របស់ជនរងគ្រោះនោះនឹងត្រូវទាញយកទៅរក្សាទុកក្នុង Android’s log messges ដែលហៅថា logcat ដែលអនុញ្ញាតឲ្យកម្មវិធិដទៃទៀតទាញយកនូវ access token នោះ រួចបន្ទាប់មកធ្វើការជ្រៀតចូល (hijack) គណនីនោះតែម្តង។
ចំនុចខ្សោយទីពីរគឺទាក់ទងទៅនឹង Facebook Page Manager នៅក្នុង Android ដែលស្រដៀងទៅនឹងចំនុចខ្សោយ ខាងលើនោះដែរ គឺត្រុូវបានរាយការណ័៍ដោយលោក Ramadan។ លោកបាននិយាយថា “ដើម្បីវាយប្រហារលើចំនុចខ្សោយនេះ អ្នកត្រូវតែ log-in ទៅក្នុង Facebook Pages Manager ហើយ access token នឹងត្រូវបានជ្រាបចេញទៅកាន់រាល់កម្មវិធីផ្សេងៗទៀត ដោយមិនត្រូវការ download យកអ្វីទាំងអស់ ពីនណាម្នាក់ឡើយ”។
លោកក៏បានបន្ថែមទៀតថា Facebook Access_Tokens គឺមិនមានពេលផុតកំណត់ឡើយ ហេតុដូច្នេះហើយអ្នកប្រើប្រាស់គួរតែ ធ្វើបច្ចុប្បន្នភាព កម្មវិធី Facebook របស់ខ្លួនដើម្បីជួសជុលកំហុសឆ្គងទាំងនោះ។
ព័ត៌មានបន្ថែម៖
http://attack-secure.com/2013/10/all-your-facebook-access-tokens-are-belong-to-us/