Reklama

Facebook Ticho opravuje masívnu bezpečnostnú dieru, milióny potenciálne postihnutých [Novinky] facebook logo 300x300Facebook potvrdil tvrdenia spoločnosti Symantec týkajúce sa miliónov únikových tokenov prístupu. Tieto tokeny umožňujú aplikácii prístup k osobným informáciám a vykonávať zmeny v profiloch, v podstate dáva tretím stranám „rezervný kľúč“ k vašim profilovým informáciám, fotografiám, stene a správ.

Nepotvrdzuje sa, či tieto tretie strany (väčšinou inzerenti) vedeli o bezpečnostnej diere, hoci Facebook medzitým spoločnosti Symantec povedal, že chyba bola odstránená. Prístup poskytnutý prostredníctvom týchto kľúčov sa mohol dokonca použiť na osobné údaje používateľov mojich používateľov, čo dokazuje, že bezpečnostná chyba by sa mohla datovať až do roku 2007, keď boli spustené aplikácie Facebooku.

Zamestnanec spoločnosti Symantec Nishant Doshi uviedol v a príspevok v blogu:

Odhadujeme, že od apríla 2011 tento únik umožnilo takmer 100 000 aplikácií. Odhadujeme, že v priebehu rokov mohli stovky tisíc aplikácií neúmyselne uniknúť miliónom prístupových tokenov pre tretie strany.”

Nie celkom Sony

instagram viewer

Prístupové tokeny sa udeľujú, keď používateľ inštaluje aplikáciu a poskytuje službe prístup k svojim profilovým informáciám. Platnosť prístupových kľúčov zvyčajne vyprší časom, hoci mnoho aplikácií požaduje prístupový kľúč offline, ktorý sa nezmení, kým užívateľ nenastaví nové heslo.

Napriek tomu, že Facebook používa spoľahlivé metódy overovania OAUTH2.0, množstvo starších autentifikačných schém je stále akceptovaných a následne ich používajú tisíce aplikácií. Práve tieto aplikácie, ktoré používajú zastarané bezpečnostné metódy, môžu neúmyselne preniesť informácie tretím stranám.

Nishant vysvetľuje:

„Aplikácia používa presmerovanie na strane klienta na presmerovanie používateľa do známeho dialógového okna na povolenie aplikácií. K tomuto nepriamemu úniku môže dôjsť, ak aplikácia používa staršie rozhranie Facebook API a má ako súčasť svojho kódu presmerovania nasledujúce zastarané parametre „return_session = 1“ a „session_version = 3 ″.“

Facebook Quietly Patches Masívna bezpečnostná diera, milióny potenciálne postihnutých [News] sym fb1

Ak by sa tieto parametre použili (na obrázku vyššie), Facebook vráti požiadavku HTTP obsahujúcu prístupové tokeny v rámci adresy URL. Ako súčasť systému sprostredkovania je táto adresa URL zasielaná inzerentom tretích strán, doplnená o prístupový token (obrázok nižšie).

Facebook Quietly Patches Masívna bezpečnostná diera, milióny potenciálne postihnutých [News] sym fb2

Používatelia, ktorí sa obávajú, že ich prístupové kľúče boli správne a skutočne vytečené, by si mali okamžite zmeniť svoje heslá, aby automaticky obnovili token.

Na oficiálnom blogu Facebooku sa nenachádzali žiadne správy o tomto porušení, hoci odvtedy boli revidované metódy overovania aplikácií boli zverejnené na blogu vývojárov, ktorý vyžaduje, aby všetky stránky a aplikácie prešli na OAUTH2.0.

Ste paranoidní o bezpečnosti internetu? Vyjadrite sa k súčasnému stavu Facebooku a bezpečnosti online všeobecne v komentároch!

Obrázok Kredit: Symantec

Tim je spisovateľ na voľnej nohe, ktorý žije v austrálskom Melbourne. Môžete ho sledovať na Twitteri.