RECONNECT: triple vulnerabilidad de CSRF en Facebook.

 

El investigador de seguridad Egor Homakov de la empresa Spikes Security ha lanzado una herramienta que permite robar cuentas en sitios que usan cuentas delegadas a través "Login con Facebook". Homakov decidió crear y publicar la herramienta luego de informar en enero de 2014 (hace más de un año) a Facebook, y esta se negara a reconocer y solucionar el fallo.

Si su sitio y/o aplicación utiliza la funcionalidad de Login con Facebook, es un buen momento para comenzar un análisis de seguridad de su aplicación.
La herramienta se llama RECONNECT y explota una vulnerabilidad de triple Cross-site Request Forgery (CSRF) que afectan a la funcionalidad "Facebook Login", la cual permite a los usuarios iniciar sesión en sitios web de terceros a través de sus cuentas de Facebook.

Esencialmente, el ataque funciona mediante la creación de un vínculo en el cual la víctima deberá hacer clic para acceder y esto conectará un sitio de terceros con la cuenta de Facebook del atacante, permitiéndole al atacante acceder directamente a esa cuenta y cambiar información como direcciones de correo electrónico, contraseñas.

"RECONNECT puede usarse para secuestrar cuentas en sitios web como Booking.com (solucionado), Bit.ly, About.me, Stumbleupon, Angel.co, Mashable, Vimeo y muchos otros que utilizan la funcionalidad de Facebook para realizar el login" escribió en su blog Homakov. "Facebook se negó a arreglar este problema hace un año y lamentablemente es hora de llevarlo al siguiente nivel. Este fallo abusa de un triple-CSRFs a la vez: CSRF en logout (#1), CSRF en login (#2)y CSRF en la conexión de la cuenta (#3). #1 y #2 deben ser solucionados por Facebook y #3 debe ser solucionado por los propietarios de los sitios web afectado"

Facebook ha brindado orientación a los desarrolladores para ayudarlos con la situación pero decidieron no resolver el problema de raíz. En cambio, trataron de hacerlo más difícil de explotar.

Un portavoz de Facebook dijo a SecurityWeek que los desarrolladores de los sitios pueden evitar este problema siguiendo las mejores prácticas de la red social y usando el parámetro 'state' proporcionado por OAuth Login.

"También se han implementado varios cambios para ayudar a prevenir el inicio de sesión a través de ataques de CSRF y se están evaluando otros cambios mientras se apunta a preservar la funcionalidad de un gran número de sitios que dependen de Facebook Login", señaló el portavoz.

"Este es sin duda un tema muy delicado para muchos sitios web populares que usan la identificación delegada de Facebook y una explotación generalizada podría causar estragos" dijo Branden Spikes, CEO de la empresa Spikes Security en la que trabaja Homakov.

____________________________________________________________
Tomado de: http://seguinfo.blogspot.com/2015/03/reconnect-triple-vulnerabilidad-de-csrf.html#reconnect-triple-vulnerabilidad-de-csrf
Se respetan derechos de autor.