реклама
![Facebook тихо си лепва огромна дупка за сигурност, потенциално засегнати милиони [Новини] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook потвърди твърденията на Symantec за милиони изтекли „жетони за достъп“. Тези маркери позволяват на приложението да получава достъп до лична информация и да прави промени в профилите, като по същество предоставяте на трети страни „резервен ключ“ към информацията за вашия профил, снимки, стена и съобщения.
Не се потвърждава дали тези трети страни (предимно рекламодатели) са знаели за дупката в сигурността, въпреки че Facebook оттогава е казал на Symantec, че недостатъкът е отстранен. Достъпът, предоставен чрез тези ключове, дори би могъл да бъде използван за личните данни на потребителите, с доказателства, че недостатъкът на сигурността може да бъде от 2007 г., когато стартираха приложения за Facebook.
Това заяви служителят на Symantec Нишант Доши блог пост:
“Изчисляваме, че към април 2011 г. близо 100 000 заявления позволяват това изтичане. Смятаме, че през годините стотици хиляди приложения могат по невнимание да са изтекли милиони маркери за достъп до трети страни.”
Не е съвсем Sony
Токените за достъп се предоставят, когато потребителят инсталира приложение и предостави на услугата достъп до информацията за неговия профил. Обикновено ключовете за достъп изтичат с времето, въпреки че много приложения изискват ключ за достъп офлайн, който няма да се промени, докато потребителят не зададе нова парола.
Въпреки че Facebook използва солидни методи за автентификация на OAUTH2.0, все още се приемат редица по-стари схеми за удостоверяване и се използват от хиляди приложения. Именно тези приложения, използващи остарели методи за сигурност, могат по невнимание да изтекат информация до трети страни.
Нишант обяснява:
„Приложението използва пренасочване от страна на клиента за пренасочване на потребителя към диалоговия прозорец за разрешение на познатото приложение. Това косвено изтичане може да се случи, ако приложението използва наследствен Facebook API и има следните оттеглени параметри, „return_session = 1” и „session_version = 3 ″, като част от техния код за пренасочване“.
![Facebook тихо закърпва огромна дупка за сигурност, потенциално засегнати милиони [Новини] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Ако тези параметри са били използвани (на снимката по-горе), Facebook ще върне HTTP заявка, съдържаща маркери за достъп в URL адреса. Като част от схемата за препращане, този URL адрес от своя страна се предава на рекламодатели от трети страни, в комплект с маркера за достъп (на снимката по-долу).
![Facebook тихо закърпва масивна дупка за сигурност, потенциално засегнати милиони [Новини] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Потребителите, които се притесняват, че ключовете им за достъп са били добре и наистина са изтекли, трябва да променят паролите си незабавно, за да нулират автоматично маркера.
В официалния блог във Фейсбук няма новина за нарушението, въпреки че оттогава са преработени методи за удостоверяване на приложения е публикувано в блога за разработчици, изискващ всички сайтове и приложения да преминат към OAUTH2.0.
Параноичен ли сте за сигурността в Интернет? Кажете своето мнение за текущото състояние на Facebook и като цяло онлайн сигурността в коментарите!
Кредит за изображение: Symantec
Тим е писател на свободна практика, който живее в Мелбърн, Австралия. Можете да го последвате в Twitter.