Користувач «Хабрахабр» під ніком prohodil_mimo розповів про виявлену їм уразливості у «ВКонтакте», яка дозволяє зловмисникові зайти на сторінку користувача після того, як той вийшов зі своєї сторінки.
Уразливість була виявлена ??в API, призначеному для роботи з мобільними додатками, а конкретно - в способі авторизації OAuth. За словами програміста, зловмисники можуть безперешкодно скористатися «куками» користувача після того, як він вийшов зі своєї сторінки. Для доступу до профілю навіть не знадобиться вводити вірний логін або пароль.
Якщо користувач залягання, йому буде відразу запропоновано встановити додаток, якщо ні - спочатку залогінитися, а вже потім встановлювати. Якщо додаток вже встановлено, то йде відразу перехід на сторінку, в хеше якої буде токен. Далі йде робота з API.
Найцікавіше починається після виходу з «ВКонтакте». Ваша програма може мати посилання на вихід виду vk. com / login. php? op = logout. Це стандартна посилання на вихід з VK. Але після виходу користувача з VK куки залишаються робочими.
Таким чином, якщо знову показати сторінку авторизації, ввести абсолютно інший логін і пароль - ви все одно зможете користуватися сторінкою першого користувача. prohodil_mimo Як зазначив prohodil_mimo, в самому додатку, подібним чином перехоплювати дані, можуть використовуватися «найшкідливіші» права. Розробник може не запитувати доступ до контактів або фото, але все одно отримати можливість відкривати як знімки, так і будь-яку іншу інформацію в профілі.
За словами програміста, в підтримці у «ВКонтакте» йому відповіли, що «це не баг, а фіча, але, можливо, щось зміниться в майбутньому».
У розмові з TJ прес-служба «ВКонтакте» заявила про те, що розробник припустився помилки, а уразливості насправді немає.
У публікації на «Хабрахабр» допущена помилка: vk. com / login. php?
op = logout - це не посилання для виходу з «ВКонтакте». Посилання логаута для кожного користувача індивідуальна, це можна перевірити, навівши курсором на кнопку «Вихід» або скопіювавши посилання правою кнопкою миші на сайті.
Автор публікації дійсно міг зіткнутися з тим, що йому показувалася форма авторизації при переході по вказаному посиланню - цей баг ми незабаром закриємо. Однак до виходу зі сторінки це не має ніякого відношення, і про будь-яку уразливості тут мови не йде. Прес-служба «ВКонтакте».