Gabriel Brooks
0 
3459
883
Facebook je potvrdio tvrdnje Symanteca o milijunima procurjelih “pristupne žetone”. Ovi tokeni omogućuju aplikaciji pristup osobnim podacima i izmjenu profila, u osnovi pružajući trećim stranama “Rezervni ključ” informacijama o vašem profilu, fotografijama, zidu i porukama.
Nije potvrđeno jesu li te treće strane (uglavnom oglašavači) znale za sigurnosnu rupu, iako je Facebook od tada rekao Symantecu da je kvar riješen. Pristup odobren putem ovih ključeva mogao bi se čak koristiti za rudanje osobnih podataka korisnika, uz dokaze da bi sigurnosni propust mogao datirati u 2007. godinu kada su pokrenute Facebook aplikacije..
Zaposlenik Symanteca Nishant Doshi rekao je u postu na blogu:
“Procjenjujemo da je od travnja 2011. godine blizu 100 000 zahtjeva omogućilo to istjecanje. Procjenjujemo da bi tijekom godina stotine tisuća aplikacija nehotice dopustile milijune pristupnih tokena trećim stranama.”
Nije baš Sony
Tokeni za pristup daju se kada korisnik instalira aplikaciju i usluzi odobri pristup podacima svog profila. Obično pristupni ključevi istječu s vremenom, iako mnoge aplikacije zahtijevaju izvanmrežni pristupni ključ koji se neće promijeniti sve dok korisnik ne postavi novu zaporku.
Unatoč tome što Facebook koristi čvrste metode provjere autentičnosti OAUTH2.0, brojni stariji programi provjere autentičnosti još su prihvaćeni i koriste ih tisuće aplikacija. Upravo te aplikacije, korištenjem zastarjelih sigurnosnih metoda, mogu nenamjerno prenijeti podatke trećim stranama.
Nishant objašnjava:
“Aplikacija koristi preusmjeravanje na strani klijenta za preusmjeravanje korisnika u dijaloški okvir s dozvolom poznate aplikacije. Ovo neizravno curenje moglo bi se dogoditi ako aplikacija koristi naslijeđeni Facebook API i ima sljedeće zastarjele parametre, “return_session = 1” i “session_version = 3 ", kao dio koda za preusmjeravanje.”
U slučaju korištenja ovih parametara (na slici gore), Facebook bi vratio HTTP zahtjev koji sadrži URL-ove znakove za pristup. Kao dio preporuke, ovaj se URL prosljeđuje oglašavačima trećih strana, zajedno s pristupnim tokenom (na slici dolje).
Korisnici koji su zabrinuti da su njihovi pristupni ključevi dobro i istinski procurili, trebali bi odmah promijeniti zaporke kako bi automatski postavili token.
Na službenom Facebook blogu nije bilo vijesti, iako su od tada objavljene preinačene metode provjere autentičnosti aplikacije na blogu programera, zahtijevajući da se sve web lokacije i aplikacije prebace na OAUTH2.0.
Jeste li paranoični po pitanju internetske sigurnosti? U komentarima imajte svoje mišljenje o trenutnom stanju Facebooka i internetskoj sigurnosti općenito!
Kreditna slika: Symantec