Uma nova ferramenta permite que hackers gerem URLs que podem sequestrar contas em sites que usam o Facebook Login, potencialmente permitindo ataques de phishing poderosos.
A ferramenta, chamada de Reconnect, foi lançada na última semana por Egor Homakov, um pesquisador da empresa de segurança Sakurity. Ela tira vantagem de um problema de cross-site request forgery (CSRF) no Facebook Login, o serviço que permite aos usuários fazerem login em sites de terceiros usando suas contas na rede social.
Homakov tornou o problema público em seu blog em janeiro de 2014, após o Facebook se recusar a solucioná-lo porque fazer isso iria quebrar a compatibilidade com um grande número de sites que usavam o serviço.
“O Facebook se recusou a consertar esse problema há um ano. Infelizmente agora é hora de levar isso para o próximo nível e dar aos blackhats essa ferramenta simples”, afirmou o pesquisador em seu blog na última semana.
O ataque envolve gerar URLs maliciosas. Quando vítimas em potencial são enganadas a clicar nas URLs, elas são “deslogadas” das suas próprias contas no Facebook e em contas falsas na rede social que foram configuradas pelos criminosos. Também em segundo plano, as suas contas nos sites que usam o Facebook Login são conectadas às contas falsas no Facebook configuradas pelos invasores.
Isso dá aos criminosos o controle sobre as contas das vítimas nesses sites de terceiros, permitindo que eles mudem as senhas, leiam mensagens privadas e realizem outras ações usando as contas sequestradas, afirma Homakov.
A ferramenta prova de conceito chamada Reconnect também pode gerar URLs maliciosas para sequestrar contas no Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable e Vimeo. No entanto, muito mais sites que suportam o Facebook Login podem ser atingidos ao se colocar manualmente na ferramenta os links que impulsionam os pedidos de login em nome dos usuários.
O ataque explora a falta de proteção CSRF para três processos separados – Facebook Login, Facebook Logout e conexão com contas de terceiros – afirmou Homakov. Ele disse que os dois primeiros problemas podem ser solucionados pelo Facebook, mas que o terceiro precisa ser consertado pelos sites que integram o Facebook Login.
O Facebook tentou dificultar a exploração do problema e forneceu dicas para os desenvolvedores dos sites.
“Esse é um comportamento bem-entendi. Os desenvolvedores dos sites usando o Login podem evitar esse problema ao seguir as nossas melhores práticas e usar o parâmetro de ‘estado’ que fornecemos para o Auth Login”, afirmou a empresa.
“Também implementamos várias mudanças para ajudar a evitar o CRSF login e estamos avaliando outras enquanto focamos em preservar a funcionalidade necessária para um grande número de sites que dependem do Facebook Login”, disse a rede social.
