Reklaam
![Facebook vaikselt plaasterdab tohutut turvaauku, miljonid võivad olla mõjutatud [Uudised] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook on kinnitanud Symanteci väiteid miljonite lekkinud „juurdepääsumärkide” kohta. Need märgid võimaldavad rakendusel juurde pääseda isiklikule teabele ja muuta profiile, sisuliselt andes kolmandatele osapooltele „varuvõtme” teie profiiliteabele, fotodele, seinale ja sõnumid.
Ei kinnitata, kas need kolmandad isikud (enamasti reklaamijad) turvaaugust teadsid, ehkki Facebook on sellest ajast Symantecile öelnud, et viga on parandatud. Nende võtmete kaudu antud juurdepääsu oleks võinud kasutada isegi kasutajate isikuandmete kaevandamiseks tõenditega, et turvavead võisid pärineda 2007. aastast, kui Facebooki rakendused käivitati.
Symanteci töötaja Nishant Doshi ütles a ajaveebi postitus:
“Meie hinnangul võimaldas 2011. aasta aprillis seda leket ligi 100 000 rakendust. Meie hinnangul on aastate jooksul sadadest tuhandetest rakendustest tahtmatult lekkinud miljonid juurdepääsumärgid kolmandatele osapooltele.”
Pole päris Sony
Juurdepääsulubasid antakse siis, kui kasutaja installib rakenduse ja annab teenusele juurdepääsu oma profiiliteabele. Tavaliselt aeguvad pääsuklahvid aja jooksul, kuigi paljud rakendused taotlevad võrguühenduseta juurdepääsuvõtit, mis ei muutu enne, kui kasutaja on uue parooli määranud.
Vaatamata sellele, et Facebook kasutab kindlaid OAUTH2.0 autentimismeetodeid, aktsepteeritakse endiselt mitmeid vanemaid autentimisskeeme ja neid kasutavad tuhanded rakendused. Need vananenud turbemeetodeid kasutavad rakendused võivad tahtmatult lekitada teavet kolmandatele osapooltele.
Nishant selgitab:
„Rakendus kasutab kliendi poolt suunatud ümbersuunamist, et suunata kasutaja tuttavale rakenduse loa dialoogiboksile. See kaudne leke võib juhtuda, kui rakendus kasutab pärandlikku Facebook API-d ja selle ümbersuunamiskoodi osana on järgmised aegunud parameetrid „return_session = 1” ja „session_version = 3”. ”
![Facebook vaikselt patsutab tohutut turvaauku, miljonid võivad olla mõjutatud [uudised] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Kui neid parameetreid oleks kasutatud (pildil ülal), tagastaks Facebook HTTP-päringu, mis sisaldab URL-is sisenevaid juurdepääsulubasid. Osana viitamisskeemist edastatakse see URL omakorda kolmandate osapoolte reklaamijatele koos juurdepääsu loaga (pildil allpool).
![Facebook vaikselt patsutab tohutu turvaaugu, mis on miljonitele potentsiaalselt mõjutatud [uudised] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Kasutajad, kes tunnevad muret selle pärast, et nende juurdepääsuklahvid on olnud korras ja tõepoolest lekkinud, peaksid viivitamatult oma paroole vahetama, et luba automaatselt lähtestada.
Ametlikust Facebooki ajaveebist rikkumise kohta uudiseid ei tulnud, ehkki sellest ajast on muudetud rakenduste autentimismeetodeid postitatud arendajate ajaveebis, nõudes, et kõik saidid ja rakendused lülitaksid sisse OAUTH2.0.
Kas olete Interneti-turvalisuse osas paranoiline? Kommenteerige oma arvamust Facebooki ja veebiturvalisuse hetkeseisu kohta!
Kujutise krediit: Symantec
Tim on vabakutseline kirjanik, kes elab Austraalias Melbournes. Teda saab jälgida Twitteris.
