Aplikacje dla Facebooka ujawniały wszystkie informacje o tobie

Luka w zabezpieczeniach pozwalała na podgląd informacji z twojego profilu, niezależnie od twoich ustawień prywatności

Facebook i ochrona prywatności? Tak, jasne...

Facebook i ochrona prywatności? Tak, jasne…

Jak się okazuje, Facebook od lat umożliwiał podgląd swojej bazy danych wszystkim zainteresowanym. I niekoniecznie służbom wywiadowczym, ale i również zwykłym reklamodawcom. Jednak nie ze względu na złe intencje, a najprawdopodobniej niechcący. Jak donosi Symantec, poprzez wadliwą implementację tokenów dostępu dla aplikacji webowych, można było dostać się do profili setek milionów użytkowników, niezależnie od ich ustawień prywatności.

Starsze facebookowe aplikacje, które nie wykorzystują OAUTH 2.0 do weryfikowania swoich uprawnień, posługują się parametrami return_session=1 oraz session_version=3 w adresie URL. Facebook na żądanie aplikacji zwraca token, który umożliwia aplikacji dostęp do profilu użytkownika.

Problemem jest to, że niektóre aplikacje mają ukrytą ramkę IFRAME, którą mogą wykorzystać również i inne osoby. Mając dostęp do adresu URL, podmioty trzecie mogą otrzymać dokładnie ten sam token z takimi samymi uprawnieniami, jak aplikacja zatwierdzona przez użytkownika. Innymi słowy, jeżeli zezwoliliśmy aplikacji „Jaki jest mój ulubiony wykonawca pop” dostęp do naszego profilu, a owa aplikacja zawiera powyższego „backdoora”, to bardzo możliwe, że praktycznie każdy ma dostęp do informacji na naszym profilu. A przynajmniej każdy zainteresowany.

Facebook przyznaje, że usterka istnieje i ogłosił, że obecny mechanizm będzie obowiązywał do pierwszego września, potem wszystkie aplikacje będą musiały posługiwać się OAUTH 2.0. Rekomenduje w międzyczasie wyrzucenie zbędnych aplikacji z profilu i zmianę hasła, co spowoduje wygenerowanie nowych tokenów.

Chcesz być na bieżąco z CHIP? Obserwuj nas w Google News