Reklāma
![Facebook mierīgi ielāgo plašu drošības caurumu, miljoniem, kas varētu tikt ietekmēti [Ziņas] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook ir apstiprinājis Symantec apgalvojumus par miljoniem noplūdušu “piekļuves marķieru”. Šie marķieri ļauj lietojumprogrammai piekļūt personiskajai informācijai un veikt izmaiņas profilos, būtībā piešķirot trešajām personām “rezerves atslēgu” jūsu profila informācijai, fotogrāfijām, sienai un ziņas.
Nav apstiprināts, vai šīs trešās puses (galvenokārt reklāmdevēji) zināja par drošības caurumu, lai gan kopš tā laika Facebook ir paziņojis Symantec, ka kļūda ir novērsta. Piekļuve, kas piešķirta, izmantojot šīs atslēgas, varēja pat tikt izmantota, lai atmīnētu lietotāju personas datus, ar pierādījumiem, ka drošības kļūda varētu būt datēta ar 2007. gadu, kad tika palaistas Facebook lietojumprogrammas.
Symantec darbinieks Nishant Doshi teica a emuāra ziņa:
“Mēs lēšam, ka no 2011. gada aprīļa gandrīz 100 000 lietojumprogrammu ļāva šo noplūdi radīt. Mēs lēšam, ka gadu gaitā simtiem tūkstošu lietojumprogrammu, iespējams, netīši noplūda miljoniem piekļuves pilnvaru trešajām personām.”
Ne visai Sony
Piekļuves pilnvaras tiek piešķirtas, kad lietotājs instalē lietojumprogrammu un piešķir pakalpojumam piekļuvi sava profila informācijai. Parasti piekļuves atslēgas laika gaitā zaudē spēku, lai gan daudzas lietojumprogrammas pieprasa bezsaistes piekļuves atslēgu, kas nemainīsies, kamēr lietotājs nebūs iestatījis jaunu paroli.
Neskatoties uz to, ka Facebook izmanto stabilās OAUTH2.0 autentifikācijas metodes, joprojām tiek pieņemtas vairākas vecākas autentifikācijas shēmas, kuras savukārt izmanto tūkstošiem lietojumprogrammu. Tieši šīs lietojumprogrammas, izmantojot novecojušas drošības metodes, iespējams, netīši ir noplūdušas trešajām personām.
Nishant skaidro:
“Lietojumprogramma izmanto klienta puses novirzīšanu, lai novirzītu lietotāju uz pazīstamo lietojumprogrammu atļauju dialoglodziņu. Šī netiešā noplūde var notikt, ja lietojumprogramma izmanto mantoto Facebook API un novirzīšanas kodā ir šādi novecojuši parametri “return_session = 1” un “session_version = 3 ″.”
![Facebook mierīgi ielāgo plašu drošības caurumu, miljoniem, kurus potenciāli ietekmē. [Ziņas] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Ja šie parametri būtu izmantoti (attēlā iepriekš), Facebook atgrieztu HTTP pieprasījumu, kas satur piekļuves pilnvaras URL. Kā daļa no novirzīšanas shēmas, šis URL savukārt tiek nodots trešo personu reklāmdevējiem, komplektā ar piekļuves pilnvaru (attēlā zemāk).
![Facebook mierīgi ielāgo plašu drošības caurumu, miljoniem, kurus potenciāli ietekmē. [Ziņas] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Lietotājiem, kuri uztraucas par to, ka viņu piekļuves atslēgas ir bijušas veiksmīgas un patiesi noplūdušas, nekavējoties jāmaina paroles, lai automātiski atiestatītu pilnvaru.
Oficiālajā Facebook emuārā nebija ziņu par pārkāpumu, lai gan kopš tā laika ir pārskatītas lietojumprogrammu autentifikācijas metodes tika ievietots izstrādātāju emuārā, pieprasot visām vietnēm un lietojumprogrammām pārslēgties uz OAUTH2.0.
Vai jūs esat paranoiķis par interneta drošību? Izsakiet komentāros savu viedokli par pašreizējo Facebook un tiešsaistes drošību kopumā!
Attēla kredīts: Symantec
Tims ir ārštata rakstnieks, kurš dzīvo Melburnā, Austrālijā. Jūs varat viņam sekot Twitter.
