RECONNECT – កម្មវិធីសម្រាប់ធ្វើការហេគចូលទៅក្នុងគណនី Facebook របស់អ្នក
អ្នកបង្កើតគណនីថ្មី ឬក៍ធ្វើការ Login ចូលទៅក្នុងហ្វេសប៊ុក?។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ បានរកឃើញនូវចំនុចខ្សោយមួយដ៏គ្រោះថ្នាក់ ដែលអាចឲ្យអ្នក វាយប្រហារធ្វើការគ្រប់គ្រងគណនីហ្វេសប៊ុករបស់អ្នកបាន នៅលើវិបសាយទាំងឡាយណាដែលមានមុខងារ “Login with Facebook” ។
ចំនុចខ្សោយនេះមិនផ្តល់សិទ្ធិដល់អ្នកវាយប្រហារដឹងនូវពាក្យសម្ងាត់របស់អ្នកនោះទេ ប៉ុន្តែវាបានអនុញ្ញាតឲ្យពួកគេធ្វើការចូលទៅកាន់គណនីហ្វេសប៊ុកអ្នក ដោយប្រើប្រាស់ Facebook Application អភិវឌ្ឍន៍ដោយ វិបសាយភាគីទីបី មានដូចជា Bit.ly, Mashable, Vimeo, About.me, Stumbleupon, Angel.co និងអាចមានច្រើនជាងនេះទៀត។
ចំនុចខ្សោយមាននៅលើ ៣ ចំនុច (CSRFs)
Egor Homakov ដែលជាអ្នកស្រាវជ្រាវនៅក្នុងក្រុមហ៊ុន Sakurity បានផ្តល់ព័ត៌មានឲ្យទៅក្រុមហ៊ុនហ្វេសប៊ុកឲ្យដឹងអំពីកំហុសឆ្គងនេះកាលពីឆ្នាំមុន ប៉ុន្តែក្រុមហ៊ុនបានបដិសេធន៍មិនធ្វើការជួសជុលវាទេ ដោយសារតែវាធ្វើឲ្យប៉ៈពាល់ទៅនឹងភាពបន្សុីគ្នា (compatibility) នៃ Facebook ជាមួយនឹងវិបសាយជាច្រើននៅលើអ៊ិនធឺណិត។
ចំនុចខ្សោយទាំងនេះគឺធ្វើការវាយប្រហារតាមបច្ចេកទេស CSRF (Cross-Site Request Forgery) ទៅលើដំណើរការចំនួនបីផ្សេងៗ រួមមាន – Facebook Log in – Facebook log out និង Thrid-party account connection។
ចំនុចពីរដំបូង “អាចត្រូវបានជួសជុលដោយ Facebook” នេះបើតាមលោក Homakov និយាយ ប៉ុន្តែហ្វេសប៊ុកមិនទាន់ជួសជុលវានៅឡើយទេ។ ចំណែកឯចំនុចទីបី ត្រូវការជួសជុលដោយម្ចាស់វិបសាយ ដែលបានបញ្ចូលមុខងារ “Login With Facebook” នៅក្នុងវិបសាយរបស់ពួកគេ។
កម្មវិធីសម្រាប់ធ្វើការហេគគណនីហ្វេសប៊ុក
អ្នកស្រាវជ្រាវសន្តិសុខ បានបញ្ចេញនូវកម្មវិធីដែលមានឈ្មោះថា RECONNECT ដែលធ្វើការវាយប្រហារទៅលើចំនុចខ្សោយទាំងនោះ ហើយអនុញ្ញាតឲ្យអ្នក វាយប្រហារធ្វើការបង្កើតជា អាសយដ្ឋានអ៊ិនធឺណិត (URLs) ដែលអាចត្រូវបានប្រើប្រាស់ធ្វើការជ្រៀតចូល (hijack) ទៅក្នុងគណនីនៅលើវិបសាយណា ដែលមានមុខងារ “Login with Facebook”។
លោក Mamokov ក៍បានធ្វើការបញ្ចេញនូវដំណើរការជាជំហានៗក្នុងការវាយប្រហារផងដែរ ដោយគាត់បង្កើតនូវគណនីក្លែងក្លាយមួយ ដែលជនរងគ្រោះត្រូវបាន ធ្លាក់ទៅក្នុងអន្ទាក់ឲ្យចុចទៅលើ malicious URLs ដែលផ្តល់ដោយអ្នកវាយប្រហារ។
RECONNECT Facebook hacking tool អាចធ្វើការបង្កើតនូវ malicious URLs ដើម្បីធ្វើការជ្រៀតចូលទៅក្នុងការគណនីហ្វេសប៊ុកនៅលើ វិបសាយភាគីទីបី ដោយរួមមាន Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable និង Vimeo ។ ទោះបីជា យ៉ាងណាក៍ដោយ រាល់វិបសាយទាំងឡាយណាដែលមានមុខងារ ‘Login with Facebook’ អាចត្រូវបានហេគ ដោយការបញ្ចូលនូវតំណរភ្ចាប់របស់វា (link នៅលើប៉ូតុង Login with Facebook) ទៅក្នុងកម្មវិធីនោះ។
តើអ្នកត្រូវការពារខ្លួនអ្នកយ៉ាងដូចម្តេច?
ដើម្បីការពារគណនីរបស់អ្នក អ្នកមិនត្រូវចុចទៅលើ URLs ណាមួយមិនច្បាស់លាស់ដែលផ្តល់ឲ្យអ្នកតាមរយៈ online message, emails ឬនៅក្នុង social media account នោះទេ ហើយត្រូវតែមានការប្រុងប្រយ័ត្នខ្ពស់នៅពេលដែលប្រើប្រាស់អ៊ិនធឺណិត។
ការឆ្លើយតបរបស់ក្រុមហ៊ុនហ្វេសប៊ុកទៅលើបញ្ហានេះ
ក្រុមហ៊ុនហ្វេសប៊ុកបាននិយាយថា ខ្លួនមានការយល់ដឹងអំពីបញ្ហានេះ មួយរយៈពេលមកហើយ ហើយវិបសាយភាគីទីបីអាចការពារអ្នកប្រើប្រាស់របស់ខ្លួន ដោយប្រើប្រាស់នូវការអនុវត្តន៍ល្អៗនៅពេលប្រើប្រាស់នូវមុខងារ Facebook Sign-In ហើយនឹងប្រើប្រាស់នូវ ‘state’ parameter we provide for OAuth Login.”។ ជាមួយគ្នាេនះផងដែរ ក្រុមហ៊ុនបានធ្វើការផ្លាស់ប្តូរមួយចំនួន ដើម្បីទប់ស្កាត់នូវ Login CSRF ហើយនឹងកំពុងតែវាយតម្លៃទៅលើកត្តា មួយចំនួនទៀត ក្នុងគោលបំណងដើម្បីធានានូវមុខងារចាំបាច់ទាំងឡាយ សម្រាប់វិបសាយជាច្រើនដែលពឹងផ្អែកទៅលើមុខងារ Facebook Login។
ព័ត៌មានបន្ថែម៖