обгашенность, добро, сова, позитив, подозрение

Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина

Пользователь «Хабрахабра» под рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

уязвимость вк

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.

Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими.

Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.
В самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.
По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

Избегайте подозрительных приложений, товарищи!

Recent Posts from This Journal

  • Фауст - Faust

    Борьба светлых и темных сил за душу Фауста принесла немало проблем данному персонажу. Ему пришлось пройти через множество искушений. Злой дух…

  • Пираты 2 - Pirate 2

    Практически все слышали о пиратах, которые когда-то были грозой морских торговых путей и Старались не упустить возможность обогатиться, даже ценой…

  • Силы природы - Natural Powers

    Игровой автомат Natural Powers (Силы Природы) является, по-моему мнению, одним из самых необычных среди того, что можно сегодня встретить.…

поэтому я и не доверяю мобильным приложениям