Joseph Goodman
0 
4398
288
Facebook подтвердил претензии Symantec в отношении миллионов утечек “токены доступа”. Эти токены позволяют приложению получать доступ к личной информации и вносить изменения в профили, по существу предоставляя третьим сторонам “запасной ключ” в свой профиль информация, фотографии, стены и сообщения.
Не подтверждено, знали ли эти третьи стороны (в основном рекламодатели) о дыре в безопасности, хотя с тех пор Facebook сообщил Symantec, что эта ошибка была исправлена. Доступ, предоставленный с помощью этих ключей, мог даже использоваться для извлечения персональных данных пользователей, что свидетельствует о том, что уязвимость системы безопасности может появиться еще в 2007 году, когда были запущены приложения Facebook..
Сотрудник Symantec Нишант Доши сказал в своем блоге:
“По нашим оценкам, по состоянию на апрель 2011 г. около 100 000 приложений обеспечивали эту утечку. По нашим оценкам, за прошедшие годы сотни тысяч приложений могли непреднамеренно утратить миллионы токенов доступа третьим сторонам..”
Не совсем сони
Токены доступа предоставляются, когда пользователь устанавливает приложение и предоставляет службе доступ к информации своего профиля. Обычно срок действия ключей доступа истекает, хотя многие приложения запрашивают автономный ключ доступа, который не изменится, пока пользователь не установит новый пароль..
Несмотря на то, что Facebook использует надежные методы аутентификации OAUTH2.0, ряд старых схем аутентификации по-прежнему принимаются и, в свою очередь, используются тысячами приложений. Именно эти приложения, использующие устаревшие методы обеспечения безопасности, могут непреднамеренно передавать информацию третьим сторонам..
Нишант объясняет:
“Приложение использует перенаправление на стороне клиента для перенаправления пользователя в знакомое диалоговое окно разрешения приложения. Эта косвенная утечка может произойти, если приложение использует устаревший API Facebook и имеет следующие устаревшие параметры, “return_session = 1” а также “session_version = 3 ", как часть их кода перенаправления.”
Если бы эти параметры были использованы (на фото выше), Facebook вернул бы HTTP-запрос, содержащий токены доступа в URL. Как часть схемы рефералов, этот URL, в свою очередь, передается сторонним рекламодателям вместе с токеном доступа (изображен ниже).
Пользователи, которые обеспокоены тем, что их ключи доступа были хорошо и действительно утекли, должны немедленно изменить свои пароли, чтобы автоматически сбросить токен.
В официальном блоге Facebook не было никаких сообщений о нарушении, хотя с тех пор в блоге разработчиков были опубликованы пересмотренные методы аутентификации приложений, требующие переключения всех сайтов и приложений на OAUTH2.0..
Вы параноик по поводу интернет-безопасности? Вы можете высказать свое мнение о текущем состоянии Facebook и онлайн-безопасности в целом в комментариях!
Изображение предоставлено: Symantec