Офтоп
Вадим Елистратов

Программист рассказал о способе получить доступ к странице пользователя «ВКонтакте» после разлогина

Пользователь «Хабрахабра» под ником prohodil_mimo рассказал об обнаруженной им уязвимости во «ВКонтакте», которая позволяет злоумышленнику зайти на страницу пользователя после того, как тот вышел со своей страницы.

Уязвимость была обнаружена в API, предназначенном для работы с мобильными приложениями, а конкретно — в способе авторизации OAuth. По словам программиста, злоумышленники могут беспрепятственно воспользоваться «куками» пользователя после того, как он вышел со своей страницы. Для доступа к профилю даже не понадобится вводить верный логин или пароль.

Если пользователь залогинен, ему будет сразу предложено установить приложение, если нет — вначале залогиниться, а уже потом устанавливать. Если приложение уже установлено, то идёт сразу переход на страницу, в хэше которой будет токен. Дальше идёт работа с API.

Самое интересное начинается после выхода из «ВКонтакте». Ваше приложение может иметь ссылку на выход вида vk.com/login.php?op=logout. Это стандартная ссылка на выход из VK. Но после выхода пользователя из VK куки остаются рабочими.

Таким образом, если опять показать страницу авторизации, ввести совершенно другой логин и пароль — вы всё равно сможете пользоваться страницей первого пользователя.

prohodil_mimo

Как отметил prohodil_mimo, в самом приложении, подобным образом перехватывающем данные, могут использоваться «самые безобидные» права. Разработчик может не запрашивать доступ к контактам или фото, но всё равно получить возможность открывать как снимки, так и любую другую информацию в профиле.

По словам программиста, в поддержке во «ВКонтакте» ему ответили, что «это не баг, а фича, но, возможно, что-то изменится в будущем».

В разговоре с TJ пресс-служба «ВКонтакте» заявила о том, что разработчик допустил ошибку, а уязвимости на самом деле нет.

В публикации на «Хабрахабре» допущена ошибка: vk.com/login.php?op=logout — это не ссылка для выхода из «ВКонтакте». Ссылка логаута для каждого пользователя индивидуальная, это можно проверить, наведя курсором на кнопку «Выход» или скопировав ссылку правой кнопкой мыши на сайте.

Автор публикации действительно мог столкнуться с тем, что ему показывалась форма авторизации при переходе по указанной ссылке — этот баг мы в скором времени закроем. Однако к выходу со страницы это не имеет никакого отношения, и о какой-либо уязвимости здесь речи не идет.

пресс-служба «ВКонтакте»