Сайты могут определять сервисы, на которых авторизованы посетители

image

Теги: социальный ресурс, авторизация, сбор информации

Об уязвимости известно уже несколько лет, но большинство компаний даже не думают ее исправлять.

Немецкий разработчик Робин Волль (Robin Wall) на своей странице GitHub Pages продемонстрировал , как сайты могут снимать «медийный отпечаток», то есть вести учет того, на каких ресурсах зарегистрированы пользователи. Как поясняет специалист, большинство web-платформ могут эксплуатировать механизм аутентификации для определения, залогинен ли пользователь в сервисе. Несмотря на то, что о данной уязвимости известно уже несколько лет, большинство компаний даже не думают ее исправлять.

Эксперт пояснил работу эксплоита на примере Facebook. Механизм авторизации работает следующим образом: при переходе по ссылке https://www.facebook.com/bookmarks/pages в инкогнито-режиме, происходит автоматическое перенаправление на страницу авторизации по адресу: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages.

Параметр http://www.facebook.com%2Fbookmarks%2Fpages – это URL, на который происходит возвращение после завершения процедуры авторизации. Однако, если использовать данный URL для перенаправления на страницу авторизации, когда пользователь уже авторизован на сайте, то он попадет на https://www.facebook.com/bookmarks/pages.

Политика крупных ресурсов не позволяет получать данные самого запроса, поскольку соединение происходит по HTTPS. Тем не менее, возможно получить изображение с домена при указании ссылки на него в login.php?next= . Получить доступ к фотографиям в социальной сети не получится, так как почти все изображения Facebook хранит на серверах по адресу fbcdn.net, однако можно получить доступ к логотипу ресурса - favicon.ico: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico.

При помощи простых манипуляций со значками можно собирать данные о том, какими сервисами пользуются посетители сайта без их ведома. По словам Волля, данная атака работает практически на всех крупных платформах, поскольку все они хранят свои иконки на основном домене (Instagram уже удалила иконку со своего домена).

По словам исследователя, данную атаку можно использовать как этап в рамках более серьезных атак, например, деанонимизации, кликджекинга или фишинга.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.