При входе жертвы на сайт через соцсети хакер мог видеть её учетные данные и взломать аккаунт.
Эксперты по кибербезопасности из компании Salt Security Для просмотра ссылки Войдиили Зарегистрируйся критическую уязвимость во фреймворке Expo, которая может раскрыть данных пользователей различных онлайн-сервисов.
Уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 9.6) связана с тем, как в Expo реализована функция входа через социальную сеть с помощью протокола Expo Open Authorization (OAuth).
Expo — это платформа, которая позволяет разработчикам создавать нативные приложения для iOS, Android и веб-сайтов с использованием единой кодовой базы. Платформа предлагает ряд инструментов, библиотек и сервисов, направленных на упрощение и ускорение процесса разработки.
Однако из-за уязвимости сервисы, основанные на Expo, подвергались риску утечки учетных данных и могли позволить злоумышленнику захватить аккаунты клиентов. Ошибка могла повлиять на любого, кто входит в онлайн-сервис с помощью Expo, используя свои аккаунты Facebook*, Google , Apple или Twitter**.
Эксперты Salt Security после обнаружения уязвимости немедленно сообщили о ней Expo, которая быстро устранила недостаток. Доступно Для просмотра ссылки Войдиили Зарегистрируйся , описывающее процесс устранения недостатка.
По словам исследователей, OAuth быстро становится стандартом в индустрии, поэтому киберпреступники постоянно ищут слабые места в протоколе. Неправильная реализация OAuth может иметь серьёзные последствия как для компаний, так и для клиентов, так как они оставляют ценные данные под угрозой.
<span style="font-size: 8pt;">* Компания Meta и её продукты (Instagram и Facebook ) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
<span style="font-size: 8pt;"> </span> <span style="font-size: 8pt;"> ** Социальная сеть запрещена на территории Российской Федерации.</span>
Эксперты по кибербезопасности из компании Salt Security Для просмотра ссылки Войди
Уязвимость Для просмотра ссылки Войди
Expo — это платформа, которая позволяет разработчикам создавать нативные приложения для iOS, Android и веб-сайтов с использованием единой кодовой базы. Платформа предлагает ряд инструментов, библиотек и сервисов, направленных на упрощение и ускорение процесса разработки.
Однако из-за уязвимости сервисы, основанные на Expo, подвергались риску утечки учетных данных и могли позволить злоумышленнику захватить аккаунты клиентов. Ошибка могла повлиять на любого, кто входит в онлайн-сервис с помощью Expo, используя свои аккаунты Facebook*, Google , Apple или Twitter**.
Эксперты Salt Security после обнаружения уязвимости немедленно сообщили о ней Expo, которая быстро устранила недостаток. Доступно Для просмотра ссылки Войди
По словам исследователей, OAuth быстро становится стандартом в индустрии, поэтому киберпреступники постоянно ищут слабые места в протоколе. Неправильная реализация OAuth может иметь серьёзные последствия как для компаний, так и для клиентов, так как они оставляют ценные данные под угрозой.
<span style="font-size: 8pt;">* Компания Meta и её продукты (Instagram и Facebook ) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
<span style="font-size: 8pt;"> </span> <span style="font-size: 8pt;"> ** Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru