IBM:黑客可以在社会登录中使用安全漏洞来模拟纳斯达克和街单等网站上的用户
IBM的X-Force Application Security Research团队表示,黑客可以轻松利用Facebook或LinkedIn利用社交登录,以访问另一个站点,例如SlashDot.org和Nasdaq.com。
攻击,称为“欺骗我”,允许黑客通过使用“登录”功能来冒充受害者,许多网站为用户提供代替注册。IBM的研究团队使用LinkedIn演示攻击。他们首先使用受害者John Doe的电子邮件地址创建了一个新的Linkedin。虽然该帐户正在等待John Doe的电子邮件地址验证,但IBM使用了欺骗的LinkedIn帐户来登录John Doe的Slashdot帐户。
漏洞令人震惊。在类似LinkedIn,Amazon和MyDigiPass等社交登录提供商上出现的漏洞。IBM表示,LinkedIn快速回复并在警告缺陷时修复了问题。易受攻击的位点是纳斯达克,Slashdot和Spiceworks,但IBM指出,如果受害者的电子邮件尚未在正在使用的社交登录提供商中注册,则攻击只能工作。
“可能有成千上万的网站容易受到这种攻击,但我们很难确定哪些是什么。该漏洞是两倍,并依赖于网站拥有未染色的漏洞,并使用易受攻击的社交登录提供商并非全部都很脆弱,“该公司在一封电子邮件中对我说。IBM的研究人员建议提供社交登录功能的所有网站审查其流程,并确保它们不容易受到破解。在缓解方面,IBM表示,开发人员可以向用户询问现有帐户的所有权证明或防止攻击不允许使用未验证的电子邮件地址。
研究人员表示,他们担心这种脆弱性可能导致恶意演员能够作为一家公司的社会论坛执行权,并释放虚假信息,以操纵股票价格。相同类型的攻击可能会影响着公众眼中的政治家和其他人。此外,冒充名人的人可以利用他们的特权职位来获得其他毫无戒心的用户下载恶意软件。
以下是漏洞利用的视频演示,您可以看到此处攻击的完整解释。