Рекламное объявление
![Facebook тихо исправляет огромную дыру в безопасности, потенциально затронутые миллионы [News] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook подтвердил заявления Symantec о миллионах утечек «токенов доступа». Эти токены позволяют приложению получать доступ к личной информации и вносить изменения в профили, по существу, предоставление третьим лицам «запасного ключа» для информации вашего профиля, фотографий, стен и Сообщения.
Не подтверждено, знали ли эти третьи стороны (в основном рекламодатели) о дыре в безопасности, хотя с тех пор Facebook сообщил Symantec, что ошибка была исправлена. Доступ, предоставленный с помощью этих ключей, мог бы даже использоваться для сбора личных данных пользователей, что свидетельствует о том, что уязвимость системы безопасности могла появиться еще в 2007 году, когда были запущены приложения Facebook.
Сотрудник Symantec Нишант Доши сказал в Сообщение блога:
“По нашим оценкам, по состоянию на апрель 2011 г. около 100 000 приложений обеспечивали эту утечку. По нашим оценкам, за прошедшие годы сотни тысяч приложений могли непреднамеренно утратить миллионы токенов доступа третьим сторонам..”
Не совсем сони
Токены доступа предоставляются, когда пользователь устанавливает приложение и предоставляет службе доступ к информации своего профиля. Обычно срок действия ключей доступа истекает, хотя многие приложения запрашивают автономный ключ доступа, который не изменится, пока пользователь не установит новый пароль.
Несмотря на то, что Facebook использует надежные методы аутентификации OAUTH2.0, ряд старых схем аутентификации по-прежнему принимаются и, в свою очередь, используются тысячами приложений. Именно эти приложения, использующие устаревшие методы обеспечения безопасности, могут непреднамеренно передавать информацию третьим лицам.
Нишант объясняет:
«Приложение использует перенаправление на стороне клиента для перенаправления пользователя в знакомое диалоговое окно разрешения приложения. Эта косвенная утечка может произойти, если приложение использует устаревший API Facebook и имеет следующие устаревшие параметры, «return_session = 1» и «session_version = 3 ″, как часть их кода перенаправления».
![Facebook спокойно исправляет огромную дыру в безопасности, потенциально затронутые миллионы [Новости] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Если бы эти параметры были использованы (на фото выше), Facebook вернул бы HTTP-запрос, содержащий токены доступа в URL. Как часть схемы рефералов, этот URL, в свою очередь, передается сторонним рекламодателям вместе с токеном доступа (изображен ниже).
![Facebook тихо исправляет огромную дыру в безопасности, потенциально затронутые миллионы [Новости] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Пользователи, которые обеспокоены тем, что их ключи доступа были хорошо и действительно утекли, должны немедленно изменить свои пароли, чтобы автоматически сбросить токен.
В официальном блоге Facebook не было никаких сообщений о нарушении, хотя с тех пор пересмотренные методы аутентификации приложений был размещен в блоге разработчиков, требуя от всех сайтов и приложений перейти на OAUTH2.0.
Вы параноик по поводу интернет-безопасности? Выскажите свое мнение о текущем состоянии Facebook и онлайн-безопасности в целом в комментариях!
Кредит изображения: Symantec
Тим - независимый писатель, живет в Мельбурне, Австралия. Вы можете следить за ним в Твиттере.
