Propust u Facebook API ugrožava bezbednost korisničkih podataka

Društvene mreže, 10.10.2011, 09:51 AM

Propust u Facebook API ugrožava bezbednost korisničkih podataka

Dvojica hakera, članova Blackhat Academy, Hatter i ErrProne, upozorili su na ozbiljne nedostatke u načinu na koji Facebook programerima aplikacija ograničava pristup podacima korisnicka ove društvene mreže.

Problem je u načinu na koji Facebook-ove aplikacije funkcionišu i to, prema tvrdnjama dvojice hakera, može dovesti do neovlašćene promene lozinki. Naime, Facebook aplikacije koriste poseban jezik nazvan FQL (Facebook Query Language) za izvlačenje i menjanje korisničkih podataka koji se nalaze u bazi podataka društvene mreže. Dokumentacija o FQL je javno dostupna svima te ovaj jezik svako može da nauči.

Dobijanje tako osetljivih podataka kao što su email adrese pomoću FQL zahteva API ključ, koji je jedinstven za svaku aplikaciju, ali mnogo drugih privatnih podataka korisnika ipak može biti izdvojeno iz baze podataka bez takvog ograničenja. Hatter i ErrProne su objavili i svoj “proof-of-concept” kod kojim to dokazuju.

API ključevi pružaju prevelika ovlašćenja od trenutka izdavanja, a do API ključa se dolazi relativno lako. Zlonamerni programer bi mogao da dobije i zloupotrebi API ključ već u fazi razvoja aplikacije. Šta više, aplikacije imaju pristup većem broju podataka u toj fazi, nego kasnije, kada se uđe u proces odobravanja aplikacije od strane Facebook-a, kada se aplikaciji ograničavaju prava pristupa podacima i dozvoljava se pristup samo onim podacima koji su neophodni za funkcionisanje aplikacije.

Šta više, napadači ne moraju ni da imaju API ključ za dobijanje podataka koji su im potrebni. Oni mogu da dođu do ključa legitimne aplikacije instaliranjem aplikacije na sopstvenom profilu i odgovaranjem na zahtev aplikacije za podacima izmenjenim korisničkim podacima. U zavisnosti od dozvola koje ima aplikacija, na ovaj način se može doći do podaka o drugim korisnicima ove iste aplikacije, čak i onim podacima koje korisnici dele samo sa svojim prijateljima.

Facebook-ov tim za bezbednost bi ovakvu zloupotrebu vrlo brzo otkrio, ali ne dovoljno brzo da spreči napadače da se domognu podataka koji su im potrebni pre nego što budu blokirani.

Blackhat Akademija obavestila je o ovom problemu Facebook pre više od dva meseca, ali pošto reakcije nije bilo, dvojica hakera su odlučila da svoje otkriće objave javno s obzirom da društvena mreža ne deli njihovu zabrinutost.

Portparol kompanije Facebook odbacio je ove tvrdnje rekavši da je ono što ovi hakeri nazivaju “FQL injection” ustvari način na koji je predviđeno da funkcioniše Facebook-ova API platforma. On je dodao da u kompaniji postoji veliki tim koji proverava rizičnost aplikacija s obzirom na broj korisnika aplikacije ili podatke koji se dele. Kada otkriju potencijalno lošu aplikaciju ili kada takva aplikacija bude prijavljena, tim reaguje brzo onemogućavajući aplikaciji pristup podacima.

Međutim, hakeri kažu da iz Facebook-a nisu razumeli da je FQL injection prisutan u samim aplikacijama. Oni ne osporavaju efikasnost kompanijskog tima za bezbednost, ali kažu da je takav pristup tima od pomoći samo kada je reč o crvima i malware-u koji se širi društvenom mrežom. Međutim, ako je određeni korisnik meta napada, takav pristup nije od pomoći jer haker samo treba da natera žrtvu da pokrene aplikaciju.

Facebook-ove aplikacije često su bile rizične po bezbednost i privatnost korisnika. Ranije ove godine je objavljeno otkriće da su brojne aplikacije, uključujući i one najpopularnije, delile a u nekim slučajevima se preko njih i trgovalo korisničkim identifikacionim podacima koji su prodavani oglašivačima koji su te podatke kasnije koristili za pravljenje profila korisnika za ciljano oglašavanje.

Prošle nedelje je Trend Micro objavio podatke o incidentu tokom kojeg su napadači preko zlonamernih oglasa u legitimnim aplikacijama distribuirali svoje drive-by download exploit-e. To samo pokazuje da Facebook ipak ne može garantovati bezbednost svake aplikacije koja je dostupna korisnicima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

TikTok kažnjen sa 530 miliona evra zbog prenosa podataka evropskih korisnika u Kinu

TikTok kažnjen sa 530 miliona evra zbog prenosa podataka evropskih korisnika u Kinu

Irska Komisija za zaštitu podataka (DPC) objavila je da je kaznila evropsku filijalu TikToka sa 530 miliona evra nakon istrage o transferu podataka k... Dalje

Hakeri tvrde da su ukrali lozinke 972.000 korisnika TikToka i sada prete da će ih objaviti

Hakeri tvrde da su ukrali lozinke 972.000 korisnika TikToka i sada prete da će ih objaviti

Hakerska grupa koja sebe naziva R00TK1T ISC CYBER TEAM tvrdi da je ukrala 972.000 lozinki korisnika TikToka. Hakeri su zapretili objavljivanjem lozink... Dalje

Meta testira novu AI tehnologiju koja otkriva naloge dece koja su se registrovala kao odrasle osobe

Meta testira novu AI tehnologiju koja otkriva naloge dece koja su se registrovala kao odrasle osobe

Meta testira novu AI tehnologiju koja može da identifikuje korisnike Instagrama mlađe od 16 godina, a zatim ih automatski prebacuje na tinejdžerske... Dalje

Podaci 2,8 milijardi X (Twitter) profila objavljeni na poznatom hakerskom forumu

Podaci 2,8 milijardi X (Twitter) profila objavljeni na poznatom hakerskom forumu

Na zloglasnim Breach forumima procurili su podaci 2,87 milijardi X (Twitter) profila. Prema objavi korisnika foruma ThinkingOne, iza curenja podataka ... Dalje

Zbog lažne Metine tehničke podrške korisnici ostaju bez naloga

Zbog lažne Metine tehničke podrške korisnici ostaju bez naloga

Meta ima više od 10 miliona aktivnih oglašivača na svojim platformama, a mnoga preduzeća zavise od oglasa na društvenim mrežama. Zato je razuml... Dalje