vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

В Facebook нашли еще одну "пробоину"

Дата публикации: 21.04.2018
Количество просмотров: 909
Автор:

Сторонние ресурсы могут получать данные пользователей Facebook из-за отсутствия границ безопасности при регистрации на различных ресурсах с помощью аккаунта в соцсети.

К такому выводу пришли аналитики организации Freedom to Tinkers, которые обнаружили две основные уязвимости, приводящие к утечке персональной информации из Facebook. Первый способ получить данные пользователя состоит в использовании механизма регистрации на сторонних ресурсах с помощью аккаунта в соцсети. 

Facebook Login и другие аналогичные системы упрощают процесс создания учетной записи для пользователей, уменьшая количество паролей для запоминания. Однако этот метод связан с определенным риском. Когда человек соглашается "войти с помощью Facebook", ему предлагается разрешить целевому веб-сайту доступ к некоторым личным данным. Даже после недавних шагов Facebook по блокировке этой функции, веб-сайты могут запрашивать адрес электронной почты и "общедоступный профиль" (имя, возраст, пол, местоположение и фотографию профиля). 

Сценарий использования данных сторонним ресурсом при помощи функции входа через Facebook
Сценарий использования данных сторонним ресурсом при помощи функции входа через Facebook

После того, как пользователь разрешает доступ, любой сторонний Javascript, встроенный в страницу (например tracker.com на рисунке), также может извлекать информацию пользователя без его ведома. Авторы обнаружили семь скриптов, которые действуют в подобном ключе и внедрены на 434 из 1 миллиона топ-сайтов. Все из них получают ID пользователя, а два дополнительно запрашивают имя и адрес электронной почты. В исследовании высказывается предположение, что сайты, на которых встроены эти скрипты, не знают об их "побочном эффекте".

Вторая уязвимость состоит в отслеживании пользователей в интернете посредством сервиса службы Facebook Login. Некоторые ресурсы предлагают использовать вход через соцсеть для аутентификации пользователей на многих сайтах. Но, при этом возникает опасность деанонификации (раскрытия личности) пользователя сторонними ресурсами и использования данных из профиля для предоставления целевой рекламы. Это возникает, когда какой-либо трекер внедряется на стороннем ресурсе в виде iframe. Как только пользователь регистрируется в этом трекере, то сторонний ресурс также получает доступ к его данным.

Сценарий использования данных сторонним ресурсом при помощи iframe
Сценарий использования данных сторонним ресурсом при помощи iframe 

Например, исследователи обнаружили такую схему на сайте Bandsintown (представлен на рисунке, как tracker.com, после обнаружения уязвимость исправлена), который позволяет посетителям узнавать о локальных концертах или других мероприятиях. Чтобы следить за каким-либо музыкантом или певцом, пользователи должны войти в систему с помощью Facebook и предоставить Bandsintown доступ к своему профилю, данным о городе, лайках, адресе электронной почты и музыкальной активности. Bandsintown использует для этого программные токены аутентификации для доступа к информации учетной записи Facebook.

Bandsintown предлагает рекламный сервис "Amplified", который присутствует на многих тематических сайтах, включая lyrics.com, songlyrics.com и lyricsmania.com. Когда пользователь Bandsintown просматривает веб-сайт, на котором размещается рекламный продукт "Amplified", рекламный скрипт включает невидимый iframe, который соединяется с приложением Facebook Bandsintown, и, используя установленные ранее токены аутентификации, обрабатывает ID пользователя Facebook. Затем iframe передает идентификатор пользователя обратно во внедренный скрипт, который использует полученные данные для предоставления целевой рекламы. 

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/101195/v-facebook-nashli-esche-odnu-proboinu-.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться