[HGI-News-de] HGI-Kolloquium am 31.10.2013: "Trusted Fri­end At­tack: Guar­di­an An­gels Strike"

Newsletter des Horst Görtz Instituts hgi-news-deutschland at lists.ruhr-uni-bochum.de
Mo Okt 28 08:12:10 CET 2013 

Sehr geehrte Damen und Herren,

im Rahmen des HGI-Kolloquiums, organisiert von der Arbeitsgruppe
Sichere Hardware und dem Horst-Görtz-Institut der Ruhr-Universität
Bochum, wird Ashar Javed von der Ruhr-Universität Bochum, am
nächsten Donnerstag, den 31. Oktober 2013 um 12 Uhr s.t. in Raum
ID 03/411 über folgendes Thema referieren:

"Trusted Fri­end At­tack: Guar­di­an An­gels Strike": In this paper, we
sur­vey the "For­got your pass­word" func­tio­na­li­ty of fifty so­ci­al
net­works and in­ves­ti­ga­te the se­cu­ri­ty of the pass­word re­co­very
me­cha­nis­ms for the im­portant spe­cial case that the user has also
lost ac­cess to his email ac­count. We were able to com­pro­mi­se
ac­counts on six so­ci­al net­works (De­li­cious, Aca­de­mia, GetGlue,
Lo­ka­lis­ten, Frei­zeit-Freun­de and Stay­Fri­ends) and block ac­count
on Mee­t­Up due to the we­ak­nes­ses in the pass­word re­co­very fea­ture
and help from their un­trained sup­port teams.

In ad­di­ti­on, we were able to com­pro­mi­se Face­book users 
ac­counts through a novel at­tack on the pass­word re­co­very fea­ture 
of Face­book that we call Trusted Fri­end At­tack (TFA). We were able to
cir­cum­vent re­pu­ta­ti­on-ba­sed se­cu­ri­ty me­cha­nis­ms of Face­book. The only
pre­re­qui­si­te for TFA is that the victim ac­cepts three fri­endship
re­quests from dif­fe­rent Face­book ac­counts of the at­ta­cker.
We have re­s­pon­si­bly re­por­ted all at­tacks to the re­spec­tive 
se­cu­ri­ty teams and they have ack­now­ledged our work. In the end, we 
pro­vi­de ge­ne­ral se­cu­ri­ty gui­de­lines for users of so­ci­al 
net­works.

Zu diesem und sämtlichen weiteren Vorträgen des HGI-Kolloquiums
sind alle Studenten und Interessierten herzlich eingeladen!
Eine Voranmeldung ist nicht erforderlich!

Weitere Informationen gibt es auf folgender Webseite:
http://hgi.rub.de/hgi/hgi-seminar/

Mit freundlichen Grüßen,
  Pascal Sasdrich

-- 
*************************************************
B.Sc. Pascal Sasdrich

Hardware Security Group
Horst Görtz Institute for IT Security
Ruhr-University Bochum
ID 2/651, Universitaetsstrasse 150
44801 Bochum, Germany

Phone: +49 234-32-29949
Fax:   +49 234-32-14389
http://www.sha.rub.de // http://www.emsec.rub.de
*************************************************

Mehr Informationen über die Mailingliste Hgi-News-Deutschland