התחברתם באמצעות רשת חברתית? הפרטים האישיים שלכם בסכנה • HWzone
טכנולוגיה

התחברתם באמצעות רשת חברתית? הפרטים האישיים שלכם בסכנה

פגם חדש במספר חברתיות ובאתרים המאפשרים כניסה באמצעות חשבונות קיימים מאפשר לפורצים גישה לחשבונות של משתמשים תמימים

קבלו עדכונים לפני כולם בטלגרםקבלו מאיתנו עדכונים לפני כולם - בטלגרםהצטרפו כבר עכשיו לערוץ הטלגרם של הזון


Password
גישה לחשבונות של משתמשים תמימים במספר צעדים פשוטים

חוקרים ישראלים מצוות ה-X-Force של חברת IBM העולמית מצאו פגם חדש שמאפשר לכל אחד גישה לכמעט כל חשבון התומך בכניסה באמצעות חברתית, פגם שהחוקרים קראו לו "SpoofedMe". מאז עלייתן של חברתיות באינטרנט, מנגנון ההתחברות דרך משתמש חיצוני באחת מרשתות אלה נועד להקל על המשתמש ולפתור אותו מלזכור את כל פרטי ההתחברות (אימייל, סיסמה ושם משתמש) למספר אתרים שונים.

מנגון זה אולי מקל עלינו והופך את תהליך ההתחברות לאתרים מגוונים לבעיה של העבר, אך מחקר חדש מציג את הבעיה החדשה שנוצרה בעקבות המנגון הזה – כניסה שלא באישור אל חשבונות של משתמשים. המחקר, שנעשה על ידי החוקרים אור פלס ורועי חי מצוות ה-X-Force של IBM, מציג לנו דרך אחת (לפחות), שבה כל משתמש יכול להיכנס לכמעט כל חשבון באתר שתומך בכניסה באמצעות חברתית, בתנאי שלאותו משתמש יש את כתובת האימייל של הקורבן.

Blog_Social_Login_Illustration_First
כניסה לאתר באמצעות חברתית

בכדי להבין יותר את הסיטואציה, נגדיר את החלקים השונים שבפריצה:

הפורץ: המשתמש שמנסה להיכנס אל חשבון שאינו שלו

הקורבן: בעל החשבון שאליו הפורץ מנסה להיכנס

אתר המטרה: האתר בו מאוחסן החשבון של הקורבן בעזרת האימייל האישי שלו (שנקבע בתור אימייל X)

הרשת החברתית: הרשת החברתית בה אין לקורבן משתמש אך הפורץ פותח אחד באמצעות אימייל X של הקורבן מאתר המטרה (רשתות כמו +Facebook, LinkedIn, וכו)

 

Blog_Social_Login_Illustration_Attack

שלב ראשון – בשלב ההכנה של לפני הכניסה לחשבון, על הפורץ להיות בעל כתובת האימייל של הקורבן שאל חשבונו הוא מתכנן להיכנס, ללא הצורך להכניס את סיסמתו הפרטית. על הפורץ להירשם לרשת חברתית בה לקורבן אין חשבון קיים עם האימייל בו הוא משתמש להיכנס אל החשבון, או במקרה שלנו אימייל X. רוב הרשתות החברתיות דורשות אימות על ידי אימייל לחשבון האימייל איתו נעשתה ההרשמה, ופה בא הפגם הראשון.

שלב שני – ללא כל אימות של האימייל (אימייל X) איתו נפתח החשבון החדש ברשת החברתית, הפורץ עובר אל אתר המטרה ובו חשבון המטרה של הקורבן, ובאפשרויות התחברות למשתמשים, הפורץ בוחר את הרשת החברתית בה הוא פתח משתמש עם האימייל של הקורבן.

שלב שלישי – אתר המטרה יפנה את הפורץ אל האתר של הרשת החברתית אליו הוא נרשם מספר רגעים לפני כן, וללא הצורך באימות החשבון באמצעות האימייל של הקורבן (ובהינתן אישור לקישור חשבון הרשת החברתית עם החשבון שבאתר המטרה), יופנה הפורץ בחזרה אל אתר המטרה. החשבון של הקורבן לא רק ייקשר אל החשבון המזוייף ברשת החברתית שפתח הפורץ, אלא תינתן לפורץ גישה רגילה לחשבון של הקורבן באתר המטרה, שוב, ללא כל הכנסת סיסמה או פרטים מזהים אחרים (חוץ מאימייל) שנדרשים בכדי להיכנס לחשבון.

סרטון הדגמה של הפגם בתהליך הכניסה לחשבון באמצעות התחברות דרך חברתית

הפגם, שהציג את פניו במספר מקומות בהם החוקרים ניסו את השיטה (כמו הרשת החברתית LinkedIn, אתר הקמעונאות ושירות ההתחברות MYDIGIPASS), הוא בהחלט עניין רציני שמשפיע על מליוני משתמשים וחשבונות. עם השחרור של פרטי המחקר והתוצאות המדאיגות שלו, אנחנו מקווים כי חברתיות, בנוסף לאתרים המאפשרים התחברות באמצעות אותן יאבטחו את מנגנון ההתחברות הזה, בשבילנו.


תגיות

תגובה אחת

  1. ואו לא יאמן כל כך פשוט

    לפי איך שהבנתי אפילו שהאתר שלח אימייל אימות לא היה צריך אפילו ללכת ללחוץ עליו כי אתה כבר מחובר (אז מה הטעם באימייל אימות בכלל)
    ואז אפשר להכנס באתר נוסף שלבן אדם כבר יש חשבון פעיל שם?

    זה מטורף

כתיבת תגובה

Back to top button
Close
Close