Hackers Egor Homakov en Andrey Labunets hebben een complexe, maar bruikbare manier ontdekt om logins voor Facebook te onderscheppen. Hiermee zijn accounts op 's werelds grootste sociale netwerk te kapen. De twee, die al meer securityvondsten op hun naam hebben staan, boeken hun nieuwste prestatie door een veelvoud aan bugs achter elkaar te gebruiken.

Chrome-bug niet gefixt

De bugs zitten zowel in Facebook en het gebruikte authenticatieprotocol OAuth2 als in Google's webbrowser Chrome. Laatstgenoemde blijkt onder bepaalde omstandigheden cross-site scripting (xss) niet goed af te schermen. De twee Russische hackers hebben deze bug gemeld bij Google, maar die ziet dit niet als groot probleem. "Helaas is dit bug-rapport ingedeeld als sev=low [ernst of impact is laag - red.] door het Chrome security-team", blogt Homakov.

Hij en Labunets hebben dan ook geen premie gekregen in het kader van Google's beloningsprogramma voor het aanmelden van lekken. Verder is deze fout dus nog niet gefixed in Chrome, merkt Homakov nog op. Facebook, dat ook is ingelicht door de twee hackers, heeft inmiddels al wel zelf een maatregel genomen om misbruik van de xss-bug in Chrome te voorkomen.

Chrome geeft inlogtokens prijs:

Facebook lekt

Naast de Google-browser benut de Facebook-accountkaping ook fouten van dat sociale netwerk zelf. Dit betreft het per ongeluk toch doorgeven, dus lekken, van internetadressen voor inlog-tokens. Dit gebeurt bij het geven van permissie aan services en apps (inclusief games) voor Facebook.

Homakovs kompaan Labunets ontdekte deze fout in september vorig jaar. Vervolgens voerde Facebook een fix door, maar die blijkt de ene fout te vervangen voor een andere. In januari vond Labunets namelijk een nieuwe misser in de fix, die daardoor te omzeilen is.

Gebruikers autoriseren apps van derden regelmatig. Wat kan er mis gaan als er alleen maar je basisinformatie wordt gedeeld?

'OAuth2 leidt naar de hel'

Tussen die twee bugs door wendt de succesvolle hackaanval ook fouten aan in OAuth2. Dat is een open standaard voor authenticatie bij online-diensten, zoals sociale netwerken. Naast Facebook gebruiken ook Twitter, Microsoft, Google en Yahoo deze authenticatietechniek. De nieuwe versie 2 hiervan is niet compatibel met versie 1, en is omstreden vanwege de security.

De oorspronkelijke ontwikkelaar van OAuth, Eran Hammer, waarschuwt dat versie 2 volledig onveilig is. De restricties uit de begindagen zijn volgens hem volledig losgelaten, wat voor onveiligheid zorgt. De specificaties waaraan deelnemers moeten voldoen zijn te breed en te losjes, stelt Hammer. "Vrijwel iedereen en alles kan er nu aan voldoen."

Hij heeft er dan ook zijn handen vanaf getrokken. Volgens Hammer is OAuth2 'de weg naar de hel'. Ook Homakov en Labunets vervloeken de authenticatieprotocol, in zijn huidige staat. Terwijl Hammer adviseert OAuth1 te (blijven) gebruiken, sturen de twee Russische hackers juist aan op fixen, en snel.