reklama
Není potvrzeno, zda tyto třetí strany (většinou inzerenti) věděly o bezpečnostní díře, ačkoli Facebook od té doby společnosti Symantec řekl, že chyba byla odstraněna. Přístup povolený pomocí těchto klíčů mohl být dokonce použit k těžbě osobních údajů uživatelů, což svědčí o tom, že bezpečnostní chyba se mohla datovat až do roku 2007, kdy byly spuštěny aplikace Facebooku.
Zaměstnanec společnosti Symantec Nishant Doshi řekl v blogový příspěvek:
“Odhadujeme, že od dubna 2011 tento únik umožnilo téměř 100 000 aplikací. Odhadujeme, že v průběhu let mohly stovky tisíc aplikací neúmyslně uniknout milionům přístupových tokenů třetím stranám.”
Ne docela Sony
Přístupové tokeny se udělují, když uživatel nainstaluje aplikaci a udělí službě přístup k jeho profilovým informacím. Přístupové klíče obvykle vyprší v průběhu času, ačkoli mnoho aplikací požaduje přístupový klíč offline, který se nezmění, dokud uživatel nenastaví nové heslo.
Navzdory Facebooku, který používá solidní metody autentizace OAUTH2.0, je stále akceptováno mnoho starších autentizačních schémat a následně je využívají tisíce aplikací. Právě tyto aplikace využívající zastaralé bezpečnostní metody mohou nechtěně uniknout informací třetím stranám.
Nishant vysvětluje:
„Aplikace používá přesměrování na straně klienta pro přesměrování uživatele do známého dialogového okna oprávnění aplikace. K tomuto nepřímému úniku může dojít, pokud aplikace používá starší rozhraní Facebook API a má následující zastaralé parametry, „return_session = 1“ a „session_version = 3 ″, jako součást jejich přesměrovacího kódu.“
Pokud by byly tyto parametry použity (na obrázku výše), vrátí Facebook požadavek HTTP obsahující přístupové tokeny v rámci adresy URL. V rámci systému doporučení je tato adresa URL zaslána inzerentům třetích stran a je doplněna přístupovým tokenem (viz obrázek níže).
Uživatelé, kteří se obávají, že jejich přístupové klíče jsou dobře a skutečně vytečeni, by si měli okamžitě změnit svá hesla, aby automaticky obnovili token.
Na oficiálním blogu Facebooku nedošlo k žádné zprávě o porušení, ačkoli od té doby revidované metody ověřování aplikací již byly byly zveřejněny na blogu vývojářů, který vyžaduje, aby všechny weby a aplikace přepnuly na OAUTH2.0.
Jste paranoidní ohledně zabezpečení internetu? Vyjádřete svůj komentář k současnému stavu Facebooku a online bezpečnosti obecně v komentářích!
Obrázek Kredit: Symantec
Tim je spisovatel na volné noze, který žije v australském Melbourne. Můžete ho sledovat na Twitteru.