Egyszerűsített nézet TELJES NÉZET

Különös Facebook-sebezhetőséget találtunk a Mozilla Firefoxban

Köztudott, hogy bár a Facebook a világ egyik legnagyobb volumenű informatikai fejlesztése, pontosan emiatt időnként hibák is csúsznak a gépezetbe, olyan dolgokat eredményezve, amik a tesztek során nem merültek fel. Egyik ügyfelünk is belefutott egy anomáliába, amit kérésére alaposan megvizsgáltunk. A jelenség valóban reprodukálható, nem egyedi esetről van szó.

Bejelentkezés a profilképeddel

A lassan 2 milliárd felhasználóval rendelkező Facebook a közelmúltban úgy döntött, még egy újabb lépést hátrál a felhasználók biztonságától, és inkább a kényelemre fekteti a hangsúlyt: az oldal bevezette a „Bejelentkezés a profilképeddel” szolgáltatást. A megoldás lényege, hogy a Facebookról való kijelentkezés után a közösségi portál bejelentkezőoldalán megjelenik a nevünk és a profilképünk, amire kattinva azonnal visszajelentkezhetünk az oldalra. Ideális esetben az oldal itt még kéri a jelszót, de ha a felhasználó figyelmetlenségből elfogadta böngésző (Google Chrome, Mozilla Firefox, stb.) lelkes felajánlását a jelszó megjegyzésére, már csak kattintanunk kell, a Facebook hírfolyam azonnal, a jelszó kérése nélkül megjelenik, mintha előtte ki sem jelentkeztünk volna.

A „Bejelentkezés a profilképeddel” szolgáltatás személyében nem beszélhetünk önmagában kihasználható sérülékenységről, de számos támadási formában nagyon hasznos lehet a kiberbűnözők számára, ha tételesen kilistázva látják, hogy az adott gépen korábban kik jelentkeztek be. Az már csak hab a tortán, ha a felhasználó szándékosan vagy véletlenül, de elfogadta a jelszó megjegyzését. És hát miért is ne fogadhatná el, ha egy hatalmas felugró ablak kéri a böngésző részéről.

Ebben a témában ráadásul azt is érdemes megemlíteni, hogy a Facebook böngészőnként kizárólag egyszer kéri a kétfaktoros hitelesítés SMS-kódját vagy telefonos engedélyezését, így a közösségi portál védelmi mechanizmusa csak a távoli támadókkal szemben véd, a lokális fenyegetésekkel (például a Facebook-vírusokat terjesztő kártevők és böngészőbővítmények) már nem.

Ennek fényében (érthető módon) számos felhasználó nem kíván élni a lehetőséggel, és annak kikapcsolásával csökkentené a potenciális támadási pontok számát. A Facebook szerencsére biztosít kapcsolót a szolgáltatás letiltására a Beállítások ➝ Biztonság és bejelentkezés ➝ Bejelentkezés a profilképeddel oldalon, ahol egyetlen kattintással orvosolhatjuk a problémát.

A Facebook nem jegyzi meg a szolgáltatás kikapcsolását, ha Firefoxot használunk

Csakhogy a Mozilla Firefox böngészőben nem úgy működik a szolgáltatás, ahogyan azt tervezték vagy várnánk. A Facebook nem képes megjegyeztetni a tűzrókás böngészővel a „Bejelentkezés a profilképeddel” aktuális ki- vagy bekapcsolt állapotát, így ha ki is kapcsoljuk, a beállítás a következő bejelentkezéskor magától visszaáll bekapcsolt állapotba – a fejlesztők úgy döntöttek, hogy a szolgáltatás alapértelmezett állapota a „bekapcsolva” legyen.

A jelenséget alaposan körüljártuk, a probléma mindenütt fennáll, értve ez alatt a Mozilla Firefox windowsos és linuxos változatait. A hibát már jeleztük a Facebooknak, addig pedig érdemes elkerülni a Firefox-Facebook kombinációt legalább a közösen használt eszközöknél, például a nyomtató-fénymásoló szalonokban, a könyvtárakban és egyéb nyilvános helyeken.

A Makay.net böngészősütiket (cookie-kat) szeretne használni a felhasználói elégedettség fokozására és látogatási mérésekre. Adatvédelmi tájékoztató