精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

Facebook SDK漏洞威脅百萬手機用戶賬戶

責任編輯:editor004

2014-07-16 14:16:09

摘自:中關村在線

研究人員發(fā)現(xiàn)了一個最新版的Facebook的SDK中的漏洞,該漏洞會暴露數(shù)以百萬計的Facebook的用戶身份認證令牌。該漏洞一旦被利用,便可以讓攻擊者通過訪問令牌和會話劫持的方法來訪問受害者的Facebook帳戶信息。

研究人員發(fā)現(xiàn)了一個最新版的Facebook的SDK中的漏洞,該漏洞會暴露數(shù)以百萬計的Facebook的用戶身份認證令牌。

Facebook對于Android和IOS的SDK提供了使用身份驗證登錄Facebook,讀取和寫入到Facebook API等許多簡易方式。

Facebook的OAuth認證或說“以Facebook賬戶”登錄的機制,提供了一種無需用戶輸入用戶名或者密碼就能在第三方app上直接登錄的個性化而安全的方式。Faceook的SDK通過實現(xiàn)OAuth2.0的用戶代理流程來獲取應用所需要的訪問令牌,從而實現(xiàn)利用Facebook的API來實現(xiàn)讀取,修改或寫入用戶的Facebook數(shù)據(jù)的功能。

研究人員發(fā)現(xiàn),F(xiàn)acebook的SDK庫直接把令牌以明文格式存儲在設備上,任何人都能輕易地獲取Android或者IOS的加密令牌,而完全不需要root或者越獄。“在一臺IOS設備上,插上USB之后,僅僅需要5秒鐘,就可以通過juice jacking攻擊獲取到訪問令牌。”研究人員稱。

除此之外,手機上的任何被賦予讀取文件系統(tǒng)權限的app都能夠遠程訪問或者偷取用戶的Facebook訪問令牌。

研究人員稱漏洞為“社會登錄會話劫持”。該漏洞一旦被利用,便可以讓攻擊者通過訪問令牌和會話劫持的方法來訪問受害者的Facebook帳戶信息。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 区。| 临邑县| 林周县| 东港市| 洛浦县| 周宁县| 邵阳县| 九寨沟县| 辽宁省| 溧水县| 永嘉县| 娱乐| 尖扎县| 阿克陶县| 自治县| 揭西县| 连州市| 东山县| 永春县| 那曲县| 右玉县| 青冈县| 柳州市| 温州市| 龙门县| 鄂尔多斯市| 昌宁县| 西吉县| 裕民县| 日喀则市| 纳雍县| 增城市| 建昌县| 隆林| 宝鸡市| 泰安市| 孟连| 仙游县| 仁布县| 北宁市| 友谊县|