လံုၿခံဳေရးအားနည္းမႈေၾကာင့္ Facebook ႏွင့္ Google သံုးစြဲသူ အခ်က္အလက္ ခိုးယူခံရႏုိင္
ပုိ႔စ္တင္ခ်ိန္
- 5/14/2014 09:16:00 PM
က်ယ္က်ယ္ျပန္႔ျပန္႔ အသံုးျပဳေနၾကသည့္ လံုၿခံဳေရးစံသတ္မွတ္ခ်က္ ႏွစ္ခုရွိ အားနည္းခ်က္ေၾကာင့္ Google, Microsoft, Facebook, Twitter ႏွင့္ အျခားအြန္လိုင္း ဝန္ေဆာင္မႈမ်ားမွ account အခ်က္အလက္မ်ားကို မည္သူမဆို ရယူအသံုးျပဳေနေၾကာင္း သိရသည္။
Covert Redirect ဟု ေခၚသည့္ အားနည္းခ်က္သည္ open-source session-authorization protocol ႏွစ္ခုျဖစ္သည့္ OAuth 2.0 ႏွင့္ OpenID တြင္ ျဖစ္ေပၚျခင္းျဖစ္သည္။
အဆုိပါ စံသတ္မွတ္ခ်က္ႏွစ္ခုကို အင္တာနက္တစ္ဝန္း အသံုးခ်လ်က္ရွိၿပီး သံုးစြဲသူမ်ားအား ဝက္ဖိုရမ္က့ဲသုိ႔ေသာ ဆုိက္မ်ားကို account အသစ္တစ္ခု ဖန္တီးစရာမလိုဘဲ Facebook ႏွင့္ Twitter account ျဖင့္ log in ဝင္ေရာက္ေစႏုိင္သည္။
တုိက္ခိုက္သူမ်ားသည္ အဆိုပါအားနည္းခ်က္ကို အသံုးခ်ကာ တရားဝင္ဝက္ဘ္ဆိုက္မ်ားမွ phishing တုိက္ခိုက္မႈမ်ားအေနျဖင့္ တုိက္ခိုက္ႏုိင္ေၾကာင္း စင္ကာပူရွိ နန္ယန္းနည္းပညာတကၠသိုလ္မွ Ph.D ေက်ာင္းသား Wang Jing က ဆိုခဲ့သည္။
Wang ၏အဆိုအရ ၎အားနည္းခ်က္အတြက္ ျပင္ဆင္မႈကို မၾကာခင္အတြင္း ရယူႏုိင္ဖြယ္ရွိေၾကာင္း Google, Microsoft, Facebook, Twitter, LinkedIn ကဲ့သို႔ေသာ ကုမၸဏီမ်ားႏွင့္ cilent ကုမၸဏီမ်ားကလည္း ၎ျပႆနာကို ျပင္ဆင္ရန္အတြက္ တာဝန္ယူျခင္းမရွိေၾကာင္း သိရသည္။
Covert Redirect ၏ အႀကီးမားဆံုးေသာ အႏၲရာယ္မွ အႏၲရာယ္ ရွိသည့္ ဝက္ဘ္ဆိုက္မ်ားႏွင့္ ခ်ိတ္ဆက္ထားေသာ link မ်ားပါဝင္သည့္ email message မ်ားကို အသံုးျပဳသည့္ phishing တုိက္ခုိက္မႈျဖင့္ login အခ်က္အလက္မ်ားကို ဆိုက္ဘာဒုစ႐ိုက္မ်ား ရယူႏုိင္ျခင္းျဖစ္သည္။
သာမန္ phishing တိုက္ခိုက္မႈသည္ အႏၲရာယ္ရွိသည့္ URL ကို သတိထား႐ံုျဖင့္သိရွိႏုိင္ေသာ္လည္း Covert Redirect သည္ တုိက္ခိုက္သူမ်ားက တကယ့္အစစ္အမွန္ ဝက္ဘ္ဆိုက္ကို အသံုးျပဳၿပီး အႏၲရာယ္ရွိသည့္ login popup dialogue box ျဖင့္ တိုက္ခိုက္ႏုိင္ေၾကာင္း သိရသည္။
ေနာင္ေနာင္
Ref: FoxNews
Internet Journal