Сайты могут определять сервисы, на которых авторизованы посетители

социальный ресурс авторизация сбор информации
Сайты могут определять сервисы, на которых авторизованы посетители
социальный ресурс авторизация сбор информации

Об уязвимости известно уже несколько лет, но большинство компаний даже не думают ее исправлять.

Немецкий разработчик Робин Волль (Robin Wall) на своей странице GitHub Pages продемонстрировал , как сайты могут снимать «медийный отпечаток», то есть вести учет того, на каких ресурсах зарегистрированы пользователи. Как поясняет специалист, большинство web-платформ могут эксплуатировать механизм аутентификации для определения, залогинен ли пользователь в сервисе. Несмотря на то, что о данной уязвимости известно уже несколько лет, большинство компаний даже не думают ее исправлять.

Эксперт пояснил работу эксплоита на примере Facebook. Механизм авторизации работает следующим образом: при переходе по ссылке https://www.facebook.com/bookmarks/pages в инкогнито-режиме, происходит автоматическое перенаправление на страницу авторизации по адресу: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages.

Параметр http://www.facebook.com%2Fbookmarks%2Fpages – это URL, на который происходит возвращение после завершения процедуры авторизации. Однако, если использовать данный URL для перенаправления на страницу авторизации, когда пользователь уже авторизован на сайте, то он попадет на https://www.facebook.com/bookmarks/pages.

Политика крупных ресурсов не позволяет получать данные самого запроса, поскольку соединение происходит по HTTPS. Тем не менее, возможно получить изображение с домена при указании ссылки на него в login.php?next= . Получить доступ к фотографиям в социальной сети не получится, так как почти все изображения Facebook хранит на серверах по адресу fbcdn.net, однако можно получить доступ к логотипу ресурса - favicon.ico: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico.

При помощи простых манипуляций со значками можно собирать данные о том, какими сервисами пользуются посетители сайта без их ведома. По словам Волля, данная атака работает практически на всех крупных платформах, поскольку все они хранят свои иконки на основном домене (Instagram уже удалила иконку со своего домена).

По словам исследователя, данную атаку можно использовать как этап в рамках более серьезных атак, например, деанонимизации, кликджекинга или фишинга.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Отказ от паролей сделает невозможным переключение между экосистемами

Western Digital бессильна перед кибератакой: My Cloud лежит уже шесть дней

Пользователи Microsoft Azure предупреждены о возможном злоупотреблении авторизацией с помощью общего ключа доступа

От Reply URL до Goodbye Security: как стать админом Entra ID за 5 минут

Срок до 1 декабря: Российские сайты должны отказаться от кнопки входа с помощью Google и Apple ID

Уязвимость в Apple Game Center позволяла обходить авторизацию

Google готовит Android к отказу от паролей и использованию ключей доступа

Обновление WhatsApp: вход в аккаунт теперь возможен через электронную почту

Войти через ВКонтакте: безопасно ли использовать соцсети для авторизации на других сайтах?