Startseite Internet Facebook potichu opravuje masivní bezpečnostní díru, miliony potenciálně zasažených [Novinky]

Facebook potichu opravuje masivní bezpečnostní díru, miliony potenciálně zasažených [Novinky]

  • Peter Holmes
  • 0
  • 1435
  • 44
reklama

Facebook potvrdil tvrzení společnosti Symantec o milionech úniků “přístupové tokeny”. Tyto tokeny umožňují aplikaci přistupovat k osobním informacím a provádět změny profilů, což třetím stranám v podstatě dává “nahradni klic” na vaše profilové informace, fotografie, zdi a zprávy.

Není potvrzeno, zda tyto třetí strany (většinou inzerenti) věděly o bezpečnostní díře, ačkoli Facebook od té doby společnosti Symantec řekl, že chyba byla odstraněna. Přístup povolený pomocí těchto klíčů mohl být dokonce použit k těžbě osobních údajů uživatelů, což dokazuje, že bezpečnostní chyba by se mohla datovat až do roku 2007, kdy byly spuštěny aplikace Facebooku..

Zaměstnanec společnosti Symantec Nishant Doshi řekl v blogu:

Odhadujeme, že od dubna 2011 tento únik umožnilo téměř 100 000 aplikací. Odhadujeme, že v průběhu let mohly stovky tisíc aplikací neúmyslně uniknout milionům přístupových tokenů třetím stranám.”

Ne docela Sony

Přístupové tokeny se udělují, když uživatel nainstaluje aplikaci a udělí službě přístup k jeho profilovým informacím. Přístupové klíče obvykle vyprší v průběhu času, ačkoli mnoho aplikací požaduje přístupový klíč offline, který se nezmění, dokud uživatel nenastaví nové heslo.

Navzdory Facebooku, který používá solidní metody autentizace OAUTH2.0, je řada starších autentizačních schémat stále akceptována a následně je využívají tisíce aplikací. Právě tyto aplikace využívající zastaralé bezpečnostní metody mohou nechtěně uniknout informací třetím stranám.

Nishant vysvětluje:

“Aplikace používá přesměrování na straně klienta pro přesměrování uživatele do známého dialogového okna oprávnění aplikace. K tomuto nepřímému úniku může dojít, pokud aplikace používá starší rozhraní Facebook API a má následující zastaralé parametry, “return_session = 1” a “session_version = 3 ", jako součást jejich přesměrovacího kódu.”

Pokud by byly tyto parametry použity (na obrázku výše), vrátí Facebook požadavek HTTP obsahující přístupové tokeny v rámci adresy URL. V rámci systému doporučení je tato adresa URL zaslána inzerentům třetích stran, včetně tokenu přístupu (viz níže).

Uživatelé, kteří se obávají, že jejich přístupové klíče jsou dobře a skutečně vytečeni, by si měli okamžitě změnit svá hesla, aby token automaticky resetovali.

Na oficiálním blogu Facebook nedošlo k žádnému porušení, ačkoli na vývojářském blogu byly od té doby zveřejněny revidované metody ověřování aplikací, které vyžadují, aby všechny weby a aplikace přešly na OAUTH2.0..

Jste paranoidní ohledně zabezpečení internetu? Vyjádřete svůj komentář k současnému stavu Facebooku a online bezpečnosti obecně v komentářích!

Image Credit: Symantec




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Jak používat doporučení LinkedIn k odlišení od davu
Sociální média
10 nástrojů pro vytváření neuvěřitelných sdílených obrázků ze sociálních médií
Sociální média
Tento trik použijte k publikování na Instagramu v prohlížeči Chrome
Sociální média
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.