လံုၿခံဳေရးအားနည္းမႈေၾကာင့္ Facebook ႏွင့္ Google သံုးစြဲသူ အခ်က္အလက္ ခိုးယူခံရႏုိင္
Photo:www.privacylives.com
က်ယ္က်ယ္ျပန္႔ျပန္႔ အသံုးျပဳေနၾကသည့္ လံုၿခံဳေရးစံသတ္မွတ္ခ်က္ ႏွစ္ခုရွိ အားနည္းခ်က္ေၾကာင့္ Google, Microsoft, Facebook, Twitter ႏွင့္ အျခားအြန္လိုင္း ဝန္ေဆာင္မႈမ်ားမွ account အခ်က္အလက္မ်ားကို မည္သူမဆို ရယူအသံုးျပဳေနေၾကာင္း သိရသည္။
Covert Redirect ဟု ေခၚသည့္ အားနည္းခ်က္သည္ open-source session-authorization protocol ႏွစ္ခုျဖစ္သည့္ OAuth 2.0 ႏွင့္ OpenID တြင္ ျဖစ္ေပၚျခင္းျဖစ္သည္။
အဆုိပါ စံသတ္မွတ္ခ်က္ႏွစ္ခုကို အင္တာနက္တစ္ဝန္း အသံုးခ်လ်က္ရွိၿပီး သံုးစြဲသူမ်ားအား ဝက္ဖိုရမ္ က့ဲသုိ႔ေသာ ဆုိက္မ်ားကို account အသစ္တစ္ခု ဖန္တီးစရာမလိုဘဲ Facebook ႏွင့္ Twitter account ျဖင့္ log in ဝင္ေရာက္ေစႏုိင္သည္။
တုိက္ခိုက္သူမ်ားသည္ အဆိုပါအားနည္းခ်က္ကို အသံုးခ်ကာ တရားဝင္ဝက္ဘ္ဆိုက္မ်ားမွ phishing တုိက္ခိုက္မႈမ်ားအေနျဖင့္ တုိက္ခိုက္ႏုိင္ေၾကာင္း စင္ကာပူရွိ နန္ယန္းနည္းပညာတကၠသိုလ္မွ Ph.D ေက်ာင္းသား Wang Jing က ဆိုခဲ့သည္။
Wang ၏အဆိုအရ ၎အားနည္းခ်က္အတြက္ ျပင္ဆင္မႈကို မၾကာခင္အတြင္း ရယူႏုိင္ဖြယ္ရွိေၾကာင္း Google, Microsoft, Facebook, Twitter, LinkedIn ကဲ့သို႔ေသာ ကုမၸဏီမ်ားႏွင့္ cilent ကုမၸဏီမ်ားက လည္း ၎ျပႆနာကို ျပင္ဆင္ရန္အတြက္ တာဝန္ယူျခင္းမရွိေၾကာင္း သိရသည္။
Covert Redirect ၏ အႀကီးမားဆံုးေသာ အႏၲရာယ္မွ အႏၲရာယ္ ရွိသည့္ ဝက္ဘ္ဆိုက္မ်ားႏွင့္ ခ်ိတ္ဆက္ ထားေသာ link မ်ားပါဝင္သည့္ email message မ်ားကို အသံုးျပဳသည့္ phishing တုိက္ခုိက္မႈျဖင့္ login အခ်က္အလက္မ်ားကို ဆိုက္ဘာဒုစ႐ိုက္မ်ား ရယူႏုိင္ျခင္းျဖစ္သည္။
သာမန္ phishing တိုက္ခိုက္မႈသည္ အႏၲရာယ္ရွိသည့္ URL ကို သတိထား႐ံုျဖင့္သိရွိႏုိင္ေသာ္လည္း Covert Redirect သည္ တုိက္ခိုက္သူမ်ားက တကယ့္အစစ္အမွန္ ဝက္ဘ္ဆိုက္ကို အသံုးျပဳၿပီး အႏၲရာယ္ရွိ သည့္ login popup dialogue box ျဖင့္ တိုက္ခိုက္ႏုိင္ေၾကာင္း သိရသည္။
ေနာင္ေနာင္
Ref: FoxNews
Internet Journal အတြဲ (၁၅)၊ အမွတ္ (၁၈)
-------------------------------------------------
ကိုမ်ဳိး (lwanmapyay.blogspot.com)