¿Cómo puede acceder a una cuenta de Facebook si conoce el token de acceso?

4

Facebook descubrió un "problema de seguridad" que afecta a 50 millones de cuentas. Según Facebook,

  

Esto les permitió robar tokens de acceso a Facebook que podrían   luego, utiliza para tomar el control de las cuentas de las personas .

Busqué pero no pude encontrar nada sobre cómo acceder a una cuenta de Facebook si conoces el token de acceso, por lo que no pude entender este problema de seguridad. ¿Alguien puede decirme cómo un hacker puede acceder a una cuenta de Facebook si conoce el token de acceso?

    
pregunta I am the Most Stupid Person 02.10.2018 - 06:13
fuente

2 respuestas

2

Lo que encuentro poco claro es CÓMO se robaron el token de acceso y qué tiene que ver la funcionalidad de subida de video.

Pero esa no es tu pregunta. Desea saber cómo un token de acceso proporciona acceso a la cuenta de otro usuario. Esto requiere cierto conocimiento sobre cómo un sitio web lo autentica y le da acceso. La administración de sesiones se explica aquí.

En un flujo normal, se autentica utilizando una contraseña, bio-métricas, etc. A cambio de una autenticación válida, recibe un ID de sesión que a menudo se almacena en una cookie. Para todas las demás solicitudes, agregue este ID de sesión para demostrar que es el mismo usuario que el que se autenticó correctamente. Un token de acceso es básicamente un identificador de sesión. Se proporciona a un usuario después de la autenticación exitosa. El token puede tener un cierto nivel de privilegio adjunto. Esto le permite obtener un token de acceso de privilegio bajo cuando se usa una autenticación débil, como una contraseña, o un token de acceso de alto privilegio, cuando se usa una autenticación más fuerte, como la bio-métrica. Probablemente, la funcionalidad ver-como le proporciona un token de acceso para un usuario que no sea usted (la persona que está viendo). Debido a algún error (no claro para mí también), este token de acceso se puede adjuntar a otras solicitudes y dar como resultado una respuesta exitosa.

Flujo normal:

  1. me autentico.
  2. Recibo un token de acceso.
  3. Traigo mi perfil y adjunto mi token de acceso como prueba de que soy la persona autenticada.
  4. Recibo mi información de perfil.

Flujo de ataque:  1. Veo como mi usuario objetivo.  2. De alguna manera recibo un token de acceso para este usuario objetivo.  3. Recupero "mi perfil" pero uso el token de acceso de mi usuario objetivo.  4. Recibo la información del perfil del usuario objetivo.

El concepto completo de tokens, SSO, sesión es más complejo y corté algunas esquinas. Un identificador de sesión a menudo se refiere a una información en el servidor que alimenta el control de acceso con atributos de usuario para basar las decisiones de control de acceso. Un token de acceso a menudo es autónomo, lo que significa que contiene los atributos del usuario posiblemente encriptados y firmados.

    
respondido por el Silver 02.10.2018 - 10:16
fuente
1

Un atacante con tu token de acceso tendría que crear su propio cliente para presentar ese token a los servidores de Facebook.

Un atacante con muchos tokens probablemente construiría un programa que actuara como varios clientes a la vez, a través de múltiples IP salientes, que luego de obtener acceso al reutilizar los tokens comprometidos, comenzarán a descargar todo lo que puedan, a través de las API que Facebook utiliza para sus propias aplicaciones cliente.

Teóricamente también podrían publicar, chatear y desencadenar otras acciones.

    
respondido por el Don Simon 03.10.2018 - 23:30
fuente

Lea otras preguntas en las etiquetas