Facebook: scoperta vulnerabilità nelle “access tokens” delle applicazioni

Scritto in Facebook, Internet, News, Sicurezza, Social Network - Da Jessica Lambiase - giovedì 12 maggio 2011 - 0 Commenti

Utilizzate Facebook? Utilizzate le applicazioni di Facebook? Allora occhio a questo post. Proprio ieri pomeriggio un annuncio di Symantec ha messo in pessima luce il colosso di Zuckerberg: secondo la nota software house, esperta in sicurezza, una vulnerabilità nel meccanismo delle chiavi d’accesso delle applicazioni scritte in FBML potrebbe mettere in serio pericolo i dati personali di chi le utilizza.

Cercherò di semplificare ciò che, in pratica, succede:

Ad ogni sviluppatore, in fase di creazione dell’applicazione, Facebook fornisce delle chiavi d’accesso (cosiddette access tokens) per associare l’applicazione ad un certo set di permessi
L’utente dell’applicazione, nel momento in cui visita una pagina del tipo http://www.facebook.com/nome_applicazione, deve autorizzare l’applicazione all’utilizzo di un certo numero di dati personali perchè l’applicazione funzioni e venga adeguatamente “modellata”
L’access token viene associata al profilo dell’utente rendendo così disponibili i dati di cui fa richiesta
Qui casca l’asino: tramite delle richieste HTTP ben mirate (e, ad oggi, inconsapevoli) l’applicazione suddetta potrebbe accedere ai dati personali del malcapitato utente anche se questi è completamente offline da Facebook, permettendo non solo l’accesso a suddetti dati, ma anche la modifica della pagina Facebook dell’utente (pubblicazione di post, invio di messaggi di chat e via discorrendo). Tutto questo perchè, in teoria, una delle chiavi d’accesso associate all’applicazione dovrebbe “scadere” ed essere invalidata all’atto del logout, ma ciò non avviene.

Fino ad oggi non ci sono stati danni, visto che gli ignari sviluppatori erano completamente all’oscuro di questo meccanismo. La scoperta (e la pubblicazione di Symantec) però potrebbe “aguzzare l’ingegno” di qualche sviluppatore malizioso che non ha niente di meglio da fare che rompere le scatole al prossimo.

Nonostante la modifica al protocollo di autenticazione all’interno delle applicazioni di Facebook (OAUTH 2.0+HTTPS), che diverrà completa entro il mese di Settembre, ci sono ancora decine di migliaia di applicazioni che utilizzano il vecchio protocollo, soffrendo inevitabilmente di questo bug.

Occhio, però: le access token malate, in questo caso, vengono rese invalide da un cambio di password. E, se non avete ancora cambiato password al vostro account, direi che è arrivato il momento di farlo, ed anche presto, onde evitare spiacevoli sorprese.

Potrete trovare informazioni più approfondite riguardo a questa vulnerabilità sul blog di Symantec.

Come si suol dire: The dark side of the moon…

Tags: applications, applicazioni, bug, chiavi, Facebook, password, privacy, tokens, vulnerabilità

Motorola: se Android 4.0 non migliorerà un dispositivo, non lo aggiorneremo

Caricabatterie universale IDAPT i1 Eco: davvero un ottimo acquisto!

[Android] Come installare CyanogenMod 7.2 RC2 su LG Optimus One P500

Smart RAM Booster: ottimizzare la RAM del nostro Android con un tap [Android - App del giorno]

Pop Up Play del Galaxy S3 su tutti i dispositivi Android grazie a Super Video

[Google Chrome] Visualizzare i tweet provenienti da un sito con Twitter Pulse

Ubuntu 12.10: GNOME Font Viewer 3.5.1 sarà integrato di default

Theme Hospital su Ubuntu, ma anche Android!

Ubuntu 12.10: Unity 3D potrebbe ricevere l’effetto rimbalzo

[Ubuntu] Come variare la luminosità dello schermo quando il sistema si rifiuta di farlo

[Enciclopedia online] Ecco delle alternative a Wikipedia!

Il jailbreak untethered di iOS 5.1.1 è alle porte: ecco come prepararsi

Facebook: scoperta vulnerabilità nelle “access tokens” delle applicazioni

Facebook: scoperta vulnerabilità nelle “access tokens” delle applicazioni

Articoli Simili