Opnieuw heeft een beveiligingsonderzoeker OAuth-tokens kunnen bemachtigen om op deze manier Facebook-accounts te kunnen kapen. Vorige week ontdekten onderzoekers ook al een manier om logins te stelen via een ander gat in Chrome gecombineerd met een lek in OAuth. De ontdekker waarschuwt voor nog meer gaten in het protocol.

Door de bug in de toestemmingen van apps konden Facebook-ontwikkelaars een gebruikersaccount overnemen. Beveiligingsonderzoeker Nir Goldshlager ontdekte hoe je OaAuth-tokens kunt stelen. “Er zijn applicaties in Facebook gebouwd die gebruikers niet hoeven te accepteren. Deze apps hebben volledige controle over je account en de tokens ervan verlopen niet in Facebook-messenger", schrijft Goldshlager op zijn blog.

Gat inmiddels gedicht

Goldshlager kon de tokens bemachtigen door de url die de app gebruikt te manipuleren. In de url-structuur zitten beveiligingen zoals dat het ID van de app moet overeenkomen met het gebruikte domein, om malafide redirects te voorkomen. De hacker kon echter de url's voor subdomeinen die Facebook gebruikt wel manipuleren om de tokens van een andere app naar zijn Facebook-applicatie laten sturen.

Een woordvoerder van Facebook zegt tegenover Cnet blij te zijn met de ontwikkelaar die de ontdekte fout aanmeldde bij het White Hat-programma van het bedrijf. “We werkten samen met het team om te zorgen dat we de scope van de kwetsbaarheid helemaal begrepen. Hierdoor konden we het oplossen en lijkt het erop dat de bug niet is misbruikt."

Nog meer OAuth-gaten

Een Facebook-ontwikkelaar kon zo een willekeurig account overnemen door de url van een app voor bijvoorbeeld m.facebook.com of touch.facebook.com aan te passen. Volgens de onderzoeker zijn er nog meer OAuth-fouten waarmee accounts kunnen worden gekaapt. Hij wil hierover nog geen details bekendmaken, omdat de kwetsbaarheid nog niet is gefixt.

Facebook beloont onderzoekers die kwetsbaarheden in het sociale netwerk ontdekken. Goldshlager laat aan Webwerelds zustersite Computerworld weten dat Facebook beter betaalt voor het vinden van veiligheidslekken dan enig ander soortgelijk beloningsprogramma.

'Huidig OAuth onveilig'

Ook vorige week werd er een lek ontdekt waarmee Facebook-accounts kunnen worden gekaapt met XSS via Chrome om OAuth-tokens te bemachtigen. Oorspronkelijke OAuth-ontwikkelaar Eran Hammer heeft zijn handen van het protocol getrokken omdat de huidige versie te veel restricties heeft losgelaten. Omdat applicaties te losjes het protocol kunnen implementeren, is het niet langer veilig genoeg, vindt hij.