martedì 18 gennaio 2011

Indirizzi di casa e numeri di telefono in mano ad applicazioni rogue su Facebook


Ricercatori di sicurezza temono che la decisione di Facebook di fornire alle applicazioni l'accesso a informazioni di contatto delle persone potrebbe invitare l'abuso di spammer e sviluppatori senza scrupoli. In una mossa che potrebbe preludere a un nuovo livello di pericolo per gli utenti di Facebook, gli sviluppatori di applicazioni terze parti sono ora in grado di accedere al vostro indirizzo di casa e numero di cellulare.

Facebook ha annunciato Sabato scorso sul blog degli sviluppatori la creazione di due nuove autorizzazioni chiamate user_address e user_mobile_phone. Come il nome suggerisce, queste possono essere utilizzati dalle applicazioni per accedere alla indirizzi di casa e numeri di cellulare degli utenti, se definiti nei loro account. Ma, anche se per questi permessi è necessario fornire il consenso esplicito da parte degli utenti, esperti di sicurezza non sono convinti che in questo modo le informazioni sensibili siano protetti a sufficienza.


"Mi rendo conto che gli utenti di Facebook avranno solo i propri dati personali accessibili se si 'permette' all'applicazione di farlo, ma ci sono troppi attacchi che stanno accadendo su base giornaliera per far cadere proprio gli utenti nel trucco", dice Graham Cluley, senior technology consultant di Sophos. 

Facebook è già afflitto da applicazioni rogue che si collegano per inviare spam sulle bacheche degli utenti, e gli utenti indotti a effettuare sondaggi-truffe che fanno guadagnare gli spammer la commissione corrispondente e talvolta anche ingannare gli utenti al fine di sottrarre i loro numeri di cellulare per iscriversi a servizi di suonerie a tariffa maggiorata

Questi attacchi hanno ripetutamente dimostrato che centinaia di migliaia di utenti sono ancora vulnerabili alle tecniche di social engineering e non prestano molta attenzione a ciò che le finestre di dialogo di installazione dichiarano. Queste autorizzazioni dovranno essere concesse in modo esplicito per l'applicazione da parte dell'utente attraverso la finestra di dialogo standard delle autorizzazioni. Adesso, per gli sviluppatori di applicazioni rogue sarà più facile che mai raccogliere informazioni degli utenti ancora più personali. 


Si può immaginare, per esempio, che i cattivi potrebbero creare un applicazione canaglia che raccoglie i numeri di cellulare e quindi utilizzare tale informazione ai fini di spamming SMS o vendere i dati a società. La possibilità di accesso ad indirizzi di casa degli utenti aprono anche maggiori opportunità per il furto di identità, in combinazione con gli altri dati che possono aver già essere estratti. Perché non scrivere un post sul blog occasionale per affrontare le questioni riguardanti la privacy e l'identità che sono sempre presenti nei media. 

Con Facebook recentemente venuto sotto attacco per la condivisione dei dati degli utenti (ID) sulla loro piattaforma da parte degli sviluppatori, sembra strano che la società spinga in avanti come se nulla fosse accaduto. Anche se una tale politica è solo prevista sulla base del comportamento passato, aumentando la trasparenza è una cosa che porterebbe probabilmente conforto agli utenti. Facebook considera la novità di poco conto motivo per cui è stata annunciata solo nella sezione Developers. 

Accedere agli indirizzi di casa e/o numero di cellulare spalanca le porte a nuovi furti di identità grazie alla ‘complicità’ dei dati che possono essere estratti dai profili personali. Si prega di notare che queste autorizzazioni forniscono solo l'accesso a un indirizzo dell'utente e numero di cellulare, non agli indirizzi o numeri di cellulare dei loro amici. Il consiglio degli esperti è molto semplice: rimuovere il vostro indirizzo di casa e numero di cellulare dal profilo di Facebook adesso.

Nessun commento:

Posta un commento