Недоработка ВКонтакте позволившая взломать аккаунты пользователей

Подписывайтесь на новости

Главное меню

Недоработка ВКонтакте позволившая взломать аккаунты пользователей

Подробности: Опубликовано 27.07.2016 08:33

В функционале социальной сети «ВКонтакте» обнаружена еще одна недоработка, предоставляющая простор для действий злоумышленников. Нашел баг известный в Хабрахабре пользователь с ником prohodil_mimo.

Опасность, по наблюдениям внимательного пользователя «ВКонтакте», профессионального программиста, кроется в возможности использовать файлы cookies,

сохраняющиеся на компьютере владельца аккаунта «ВКонтакте», для несанкционированного входа. Ошибку содержит протокол авторизации OAuth.

Пользователя, зашедшего на страницу мобильной версии «ВКонтакте», ожидает предложение установить приложение для мобильных устройств. Для установки необходим вход в аккаунт «ВКонтакте». Если приложение уже имеется, пользователь попадает на страницу авторизации. После завершения работы пользователь проводит стандартный набор действий на выход из аккаунта. Но cookies, созданные в результате работы пользователя, остаются, и они позволяют осуществить вход в сеть без логина и пароля. Если злоумышленники получат доступ к файлам cookies, то и завладеть аккаунтом «ВКонтакте» им будет несложно.

В соцсети заявили, что об ошибке знают, но она уже устранена, и воспользоваться ей у злоумышленников шансов нет. Так как представители «ВКонтакте» не считают обнаруженный баг опасным, prohodil_mimo решил обнародовать о нем информацию самостоятельно.