Un hack offre l'accès complet sur un compte Facebook

Les utilisateurs d'application Facebook devraient ressentir un petit frisson dans le dos à la lecture de cette actualité. Un hacker est parvenu à contourner le processus de validation des droits d'une application sur le compte d'un utilisateur. Ce processus, c'est le Facebook Oauth et vous avez déjà dû croiser son chemin : il connecte les applications aux comptes Facebook dans une interface indiquant quelles permissions sont demandées, lesquels seront alloués ou au contraire refusées.

Pour parvenir à ses fins, le hacker Nir Goldshlager a d'abord analysé la structure de l'URL du processus afin de la modifier de manière à ce que les autorisations ne soient plus demandées à l'utilisateur, préférant qu'elles soient d'office validées. De cette manière, une prise de contrôle totale sur le compte en question est tout à fait possible.

La procédure complète est détaillée point par point sur The Hacker News, qui indique d'ailleurs que Nir Goldshlager a alerté Facebook il y a quelques mois déjà sur la faille, qui est aujourd'hui corrigée. 

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire