Hirdetés
![A Facebook csendesen javítja a hatalmas biztonsági lyukat, milliókat érinthet [Hírek] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
A Facebook megerősítette a Symantec állításait több millió kiszivárogtatott „hozzáférési jogkivonat” kapcsán. Ezek a jogkivonatok lehetővé teszik az alkalmazások számára, hogy hozzáférjenek a személyes adatokhoz és módosítsák a profilokat, lényegében harmadik feleknek adjon „tartalék kulcsot” profilja adataihoz, fényképeihez, falához és üzenetek.
Nem erősítik meg, hogy ezek a harmadik felek (többnyire hirdetők) tudtak-e a biztonsági lyukról, bár a Facebook azóta azt mondta a Symantec-nek, hogy a hiba kijavításra került. Az ezekkel a kulcsokkal biztosított hozzáférést felhasználhatták volna a felhasználók személyes adatainak bányászására is, bizonyítékokkal arra, hogy a biztonsági hiba 2007-ben nyúlik vissza, amikor a Facebook-alkalmazásokat elindították.
Nishant Doshi, a Symantec alkalmazottja a blog bejegyzés:
“Becslések szerint 2011 áprilisától közel 100 000 alkalmazás tette lehetővé ezt a szivárgást. Becsléseink szerint az évek során százezer alkalmazás véletlenül több millió hozzáférési jogkivonatot kiszivároghatott harmadik felek számára.”
Nem teljesen Sony
A hozzáférési jogkivonatokat akkor kapják meg, amikor a felhasználó telepít egy alkalmazást, és hozzáférést biztosít a profilhoz. A hozzáférési kulcsok általában idővel lejárnak, bár sok alkalmazás offline hozzáférési kulcsot kér, amely addig nem változik, amíg a felhasználó új jelszót nem állít be.
Annak ellenére, hogy a Facebook szilárd OAUTH2.0 hitelesítési módszereket használ, számos régebbi hitelesítési sémát továbbra is elfogadnak, és ezer alkalmazás használja. Ezek az elavult biztonsági módszereket alkalmazó alkalmazások véletlenül kiszivárogtathattak információkat harmadik felek számára.
Nishant elmagyarázza:
„Az alkalmazás ügyféloldali átirányítást használ a felhasználó átirányításához a megszokott alkalmazás engedélyezési párbeszédpanelre. Ez a közvetett szivárgás akkor fordulhat elő, ha az alkalmazás egy régi Facebook API-t használ, és a következő elavult paraméterekkel rendelkezik: „return_session = 1” és „session_version = 3”, az átirányítási kód részeként. ”
![A Facebook csendesen javítja a hatalmas biztonsági lyukat, milliókat érinthet [Hírek] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Ha ezeket a paramétereket felhasználták (a fenti képen), a Facebook visszaad egy HTTP kérést, amely hozzáférési jogkivonatokat tartalmaz az URL-en belül. A hivatkozási rendszer részeként ezt az URL-t viszont továbbadják harmadik fél hirdetőinek, kiegészítve hozzáférési jogkivonattal (az alább látható).
![A Facebook csendesen javítja a hatalmas biztonsági lyukat, milliókat érinthet [Hírek] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Azoknak a felhasználóknak, akik attól tartanak, hogy hozzáférési kulcsaik jól működtek és valóban kiszivárogtak, azonnal meg kell változtatniuk jelszavukat, hogy automatikusan visszaállítsák a jogkivonatot.
A hivatalos Facebook blogban nem volt hír a jogsértésről, bár azóta felülvizsgálták az alkalmazások hitelesítési módszereit kiküldték a fejlesztői blogban, megkövetelve, hogy minden webhely és alkalmazás váltson az OAUTH2.0-ra.
Paranoid van az Internet biztonságával kapcsolatban? Mondja el véleményét a Facebook és általában az online biztonság jelenlegi állapotáról!
Kép jóváírás: Symantec
Tim egy szabadúszó író, aki Melbourne-ben, Ausztráliában él. Követed őt a Twitteren.