Mobile application තුල ‘Login as Facebook’ භාවිතා කල ඔබත් Hack වීමේ අවදානමක!

නවතම facebook SDK සංස්කරණය මිලියන ගණනක් වූ facebook පරිශීලකයන්ගේ සුරක්ෂිත භාවය ඉතා විශාල අනතුරකට දමා තිබෙන බව, MetaIntell හි පරීක්ෂකයින් පිරිසක් සොයා ගෙන තිබෙනවා. MetaIntell යනු Mobile Risk Management (MRM) සම්බන්ධයෙන් ලොව පිළිගත් ඉහලම සංවිධානයයි.
Facebook SDK යනු, Android සහ iOS වෙනුවෙන් නිමවූ mobile apps ,Facebook platform හා පහසුවෙන් ගනුදෙනු කිරීම සඳහා නිර්මාණය
කර තිබෙන SDK (Software Development Kit) එකකි. මෙමඟින් අනෙකුත් mobile apps තුලින් Facebook authentication හරහා Login වීමටත් Facebook හි විවිධ දේ පල කිරීමටත්, කියවීමත් වගේම Facebook API (Application Programming Interface) හා විවිධ වූ ගනුදෙනු රැසක් සිදු කිරීමත් හැකියාව ලැබෙනවා.
Facebook OAuth authentication හෙවත් ‘Login as Facebook’ යනු වෙනත් 3rd party apps සඳහා log වීමට ඇති ඉතාමත් ආරක්‍ෂිත ක්‍රමවේදයයි.පරිශීලකයා විසින් application එක මඟින් ඉල්ලා සිටින permissions අනුමත කල පසු Facebook SDK එක මඟින් පරිශීලකයාගේ facebook secret access token එක ලබා ගෙන පරිශීලකයා වෙනුවට, ඔහුගේ නමින් Facebook හි දත්ත කිවවීමත් , වෙනස් කිරීමත්, දත්ත පල කිරීමත් සිඋඩ් කරනු ලබනවා.
එම නිසා මෙහිදී වැදගත්ම දෙය වන්නේ ඔබගේ එක සුරක්ෂිව තබා ගැනීමයි. නමුත් පරීක්ෂකයන් විසින් සොයා ගෙන තිබෙනවා Facebook SDK Library එක මෙම සුරැකුම් පත (secret token) ගබඩා කර තබන්නේ unencrypted format එකකින් device එකෙහි file system එකේ බවයි. එම නිසා මෙය ඉතා පහසුවෙන් ඕනෑම කෙනෙකුට ලබා ගැනීමට හැකියාව තිබෙනවා. Root නොකරන ලද Android Device එකකින් , jailed iOS Device එකකින් පවා මෙම secret token එක ලබා ගැනීමට හැකියාව තිබෙනවා.
තත්පර පහක පමණ ඉතා සුළු කාලයක USB connectivity එකක් මඟින් juice jacking attack ක්‍රමය මඟින් iOS උපකරණයක් තිබෙන access token එක ලබා ගත හැකියි.මෙයට jailbreak කිරීම වත් අවශ්‍ය වන්නේ නැහැ. Android file system එකේදී මෙය access හැකි වෙන්නේ recovery mode එකේදී වන අතර එයට ටිකක් වැඩිපුර කාලය ගත වෙනවා වගේම ඔබට ටිකක් උපක්‍රමශීලී විය යුතු වෙනවා.
ඒවගේම, device file system එක access කිරීමට හැකියාව ඇති ඕනෑම 3rd party smartphone application එකකට මෙම Facebook access token එක ඉතා පහසුවෙන් ලබා ගැනීමට හැකි වෙනවා.
VIBER මඟින් FACEBOOK TOKEN එක සොරකම් කරන අකාරය දැක්වෙන වීඩියෝ පටයක් පහතින්..,
Facebook SDK app login සඳහා භාවිතා කරන හා පරිශීලකයන්ගේ unencrypted access tokens උපකරණයේ ගබඩා කරන සියලුම iOS සහ Android apps මෙම අනතුරට භාජනය විය හැකියි.
MetaIntell කණ්ඩයම විසින් මේ පිළිබඳව Facebook දැනුවත් කර ඇති නමුත් ඔවුන් මෙම දෝෂය fix කිරීමටවත් නවතම Facebook SDK සංස්කරණයක් නිකුත් කිරීමටවත් කිසිම සුදානමක් නැති බව සඳහන් වෙනවා.
මෙම හේතුව නිසා, කිසිම විටකදී Mobile application වලට ‘Facebook Login’ වීමට අවසරය නොදෙන නොදෙන ලෙසත් එම Mobile application වලට Facebook login එක භාවිතයට අවසරය දී ඇත්නම් ඒවා ඉවත් කරන ලෙසත් අවධාරණය කර කියා සිටිනවා. ඒවගේම App Developers ලාගෙන් ඉල්ලා සිටින්නේ users’ access tokens, device file system එකෙහි ගබඩා නොකර encrypted channel සහිත secure online storage එකක ගබඩා කර තබන ලෙසත්ය.