精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Facebook SDK漏洞威脅百萬手機用戶賬戶

責任編輯:editor004

2014-07-16 14:16:09

摘自:中關村在線

研究人員發(fā)現(xiàn)了一個最新版的Facebook的SDK中的漏洞,該漏洞會暴露數(shù)以百萬計的Facebook的用戶身份認證令牌。該漏洞一旦被利用,便可以讓攻擊者通過訪問令牌和會話劫持的方法來訪問受害者的Facebook帳戶信息。

研究人員發(fā)現(xiàn)了一個最新版的Facebook的SDK中的漏洞,該漏洞會暴露數(shù)以百萬計的Facebook的用戶身份認證令牌。

Facebook對于Android和IOS的SDK提供了使用身份驗證登錄Facebook,讀取和寫入到Facebook API等許多簡易方式。

Facebook的OAuth認證或說“以Facebook賬戶”登錄的機制,提供了一種無需用戶輸入用戶名或者密碼就能在第三方app上直接登錄的個性化而安全的方式。Faceook的SDK通過實現(xiàn)OAuth2.0的用戶代理流程來獲取應用所需要的訪問令牌,從而實現(xiàn)利用Facebook的API來實現(xiàn)讀取,修改或寫入用戶的Facebook數(shù)據(jù)的功能。

研究人員發(fā)現(xiàn),F(xiàn)acebook的SDK庫直接把令牌以明文格式存儲在設備上,任何人都能輕易地獲取Android或者IOS的加密令牌,而完全不需要root或者越獄。“在一臺IOS設備上,插上USB之后,僅僅需要5秒鐘,就可以通過juice jacking攻擊獲取到訪問令牌。”研究人員稱。

除此之外,手機上的任何被賦予讀取文件系統(tǒng)權限的app都能夠遠程訪問或者偷取用戶的Facebook訪問令牌。

研究人員稱漏洞為“社會登錄會話劫持”。該漏洞一旦被利用,便可以讓攻擊者通過訪問令牌和會話劫持的方法來訪問受害者的Facebook帳戶信息。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 辉南县| 灵璧县| 潞西市| 扬中市| 五指山市| 县级市| 哈巴河县| 金湖县| 江城| 紫金县| 新巴尔虎左旗| 桐乡市| 汨罗市| 南江县| 马公市| 新安县| 清远市| 武威市| 堆龙德庆县| 凤山县| 莱西市| 肇东市| 博野县| 扎囊县| 浠水县| 方山县| 永胜县| 岱山县| 洛川县| 锡林郭勒盟| 文安县| 固始县| 化隆| 乌拉特中旗| 陕西省| 冀州市| 宁国市| 若尔盖县| 哈密市| 施秉县| 大邑县|