Реклама
![Фацебоок тихо закрпа масивну сигурносну рупу, милиони потенцијално погођени [Новости] фацебоок лого 300к300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Фацебоок је потврдио тврдње Симантец-а о милионима процурјелих "приступних жетона". Ови токени омогућавају апликацији приступ личним подацима и измене профила, у суштини давањем трећих страна „резервни кључ“ за информације о профилу, фотографијама, зиду и поруке.
Није потврђено да ли су те треће стране (углавном оглашавачи) знале за сигурносну рупу, иако је Фацебоок од тада рекао Симантецу да је грешка исправљена. Приступ одобрен преко ових кључева могао би чак да се користи за рудање личних података корисника, уз доказе да би пропуст у безбедности могао да се крене у 2007. годину када су покренуте Фацебоок апликације.
Запосленик Симантеца Нисхант Досхи рекао је у а блог пост:
“Процјењујемо да је од априла 2011. године близу 100.000 апликација омогућило ово цурење. Процењујемо да су током година стотине хиљада апликација можда нехотице процуриле милионе приступних токена трећим странама.”
Не баш Сони
Токени за приступ дају се када корисник инсталира апликацију и одобри услузи приступ подацима о њеном профилу. Обично кључеви за приступ истјечу с временом, мада многе апликације захтијевају приступни кључ који није оффлине, а који се неће мијењати док корисник не постави нову лозинку.
Упркос томе што Фацебоок користи чврсте методе аутентификације ОАУТХ2.0, бројни старији шеми за аутентификацију су и даље прихваћени и заузврат их користе хиљаде апликација. Управо те апликације, користећи застарјеле сигурносне методе, могу нехотице пренијети податке трећим особама.
Нисхант објашњава:
„Апликација користи преусмеравање на страни клијента за преусмеравање корисника у дијалошки оквир за дозволу познате апликације. Ово индиректно цурење може се догодити ако апликација користи наслијеђени Фацебоок АПИ и има сљедеће застарјеле параметре, „ретурн_сессион = 1“ и „сессион_версион = 3 ″, као дио кода за преусмјеравање“.
![Фацебоок тихо закрпа масивну сигурносну рупу, милиони потенцијално погођени [Новости] сим фб1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
У случају да се ови параметри користе (на слици горе), Фацебоок би вратио ХТТП захтев који садржи УРЛ-ове знакове за приступ. Као део рефералне шеме, ова УРЛ адреса се са друге стране прослеђује оглашавачима трећих страна, заједно са приступним токеном (на слици доле).
![Фацебоок тихо закрпа масовну сигурносну рупу, милиони потенцијално погођени [Новости] сим фб2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Корисници који су забринути да су њихови приступни кључеви добро и стварно пуштени, требало би да одмах измене лозинку како би аутоматски поставили токен.
На званичном Фацебоок блогу није било вести о кршењу, мада су од тада измењени методи за потврду аутентичности апликације објављено на блогу програмера, захтевајући да се све веб локације и апликације пребаце на ОАУТХ2.0.
Да ли сте параноични по питању Интернет сигурности? Имајте своје мишљење о тренутном стању Фацебоока и безбедности на мрежи уопште у коментарима!
Кредитна слика: Симантец
Тим је слободни писац који живи у Мелбоурну у Аустралији. Можете га пратити на Твиттеру.
