El investigador de seguridad Egor Homakov ha identificado un par de vulnerabilidades que pueden ser explotadas para secuestrar cuentas en sitios web que permiten a los usuarios autenticarse usando sus cuentas de Facebook. Lamentablemente, Facebook no solucionará estos problemas demasiado pronto.
http://news.softpedia.com/images/news-700/Researcher-Warns-of-Account-Hijacking-Flaws-in-Connect-with-Facebook-Feature.png
El primer agujero de seguridad, un CRSF en Facebook.com, puede ser aprovechado por los ciberdelincuentes para secuestrar cuentas mediante la sustitución de la identidad de la víctima con su propia.
El segundo fallo está relacionado con el uso de "signed_request". Un atacante que logre robar el signed_request de su víctima con una redirección 302 a su propio dominio puede iniciar sesión en la cuenta dirigida.
El experto aconseja a los desarrolladores que dejen de usar signed_requests y que recurran a alternativas más seguras.
Detalles técnicos adicionales sobre estos exploits de la función Connect with Facebook están disponibles en el blog de Homakov. La entrada del experto también contiene recomendaciones para los desarrolladores sobre cómo mitigar estos ataques.
http://news.softpedia.es/Investigador-advierte-acerca-de-unos-errores-de-secuestro-de-cuentas-en-la-funcion-quot-Connect-with-Facebook-quot-421066.html