Különös Facebook-sebezhetőséget találtunk a Mozilla Firefoxban

Köztudott, hogy bár a Facebook a világ egyik legnagyobb volumenű informatikai fejlesztése, pontosan emiatt időnként hibák is csúsznak a gépezetbe, olyan dolgokat eredményezve, amik a tesztek során nem merültek fel. Egyik ügyfelünk is belefutott egy anomáliába, amit kérésére alaposan megvizsgáltunk. A jelenség valóban reprodukálható, nem egyedi esetről van szó.

Bejelentkezés a profilképeddel

A lassan 2 milliárd felhasználóval rendelkező Facebook a közelmúltban úgy döntött, még egy újabb lépést hátrál a felhasználók biztonságától, és inkább a kényelemre fekteti a hangsúlyt: az oldal bevezette a „Bejelentkezés a profilképeddel” szolgáltatást. A megoldás lényege, hogy a Facebookról való kijelentkezés után a közösségi portál bejelentkezőoldalán megjelenik a nevünk és a profilképünk, amire kattinva azonnal visszajelentkezhetünk az oldalra. Ideális esetben az oldal itt még kéri a jelszót, de ha a felhasználó figyelmetlenségből elfogadta böngésző (Google Chrome, Mozilla Firefox, stb.) lelkes felajánlását a jelszó megjegyzésére, már csak kattintanunk kell, a Facebook hírfolyam azonnal, a jelszó kérése nélkül megjelenik, mintha előtte ki sem jelentkeztünk volna.

Facebook

A „Bejelentkezés a profilképeddel” szolgáltatás személyében nem beszélhetünk önmagában kihasználható sérülékenységről, de számos támadási formában nagyon hasznos lehet a kiberbűnözők számára, ha tételesen kilistázva látják, hogy az adott gépen korábban kik jelentkeztek be. Az már csak hab a tortán, ha a felhasználó szándékosan vagy véletlenül, de elfogadta a jelszó megjegyzését. És hát miért is ne fogadhatná el, ha egy hatalmas felugró ablak kéri a böngésző részéről.

Ebben a témában ráadásul azt is érdemes megemlíteni, hogy a Facebook böngészőnként kizárólag egyszer kéri a kétfaktoros hitelesítés SMS-kódját vagy telefonos engedélyezését, így a közösségi portál védelmi mechanizmusa csak a távoli támadókkal szemben véd, a lokális fenyegetésekkel (például a Facebook-vírusokat terjesztő kártevők és böngészőbővítmények) már nem.

Ennek fényében (érthető módon) számos felhasználó nem kíván élni a lehetőséggel, és annak kikapcsolásával csökkentené a potenciális támadási pontok számát. A Facebook szerencsére biztosít kapcsolót a szolgáltatás letiltására a Beállítások ➝ Biztonság és bejelentkezés ➝ Bejelentkezés a profilképeddel oldalon, ahol egyetlen kattintással orvosolhatjuk a problémát.

A Facebook nem jegyzi meg a szolgáltatás kikapcsolását, ha Firefoxot használunk

Csakhogy a Mozilla Firefox böngészőben nem úgy működik a szolgáltatás, ahogyan azt tervezték vagy várnánk. A Facebook nem képes megjegyeztetni a tűzrókás böngészővel a „Bejelentkezés a profilképeddel” aktuális ki- vagy bekapcsolt állapotát, így ha ki is kapcsoljuk, a beállítás a következő bejelentkezéskor magától visszaáll bekapcsolt állapotba – a fejlesztők úgy döntöttek, hogy a szolgáltatás alapértelmezett állapota a „bekapcsolva” legyen.

Facebook2

A jelenséget alaposan körüljártuk, a probléma mindenütt fennáll, értve ez alatt a Mozilla Firefox windowsos és linuxos változatait. A hibát már jeleztük a Facebooknak, addig pedig érdemes elkerülni a Firefox-Facebook kombinációt legalább a közösen használt eszközöknél, például a nyomtató-fénymásoló szalonokban, a könyvtárakban és egyéb nyilvános helyeken.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás