mercoledì 11 maggio 2011

Grave bug Facebook, Symantec invita gli utenti a cambiar password

Le informazioni personali degli utenti di Facebook potrebbero essere state rivelate accidentalmente a soggetti terzi, in particolare inserzionisti, negli ultimi anni. Lo sostiene la società specializzata in sicurezza informatica Symantec sul proprio blog ufficiale. Altri soggetti avrebbero avuto accessi a informazioni personali come profili, fotografie e chat, e potrebbero aver avuto la capacità di postare messaggi. La società ha segnalato questo problema a Facebook, che ha adottato le misure correttive per contribuire ad eliminare questo problema.

Le applicazioni di Facebook sono le applicazioni Web integrate sulla piattaforma Facebook. Secondo Facebook, 20 milioni di applicazioni vengono installate tutti i giorni. Le applicazioni su Facebook sono di due tipologie: FBML o iFRAME. Proprio una caratteristica dell’iframe avrebbe consentito di recuperare il token univoco dell’utente, un metodo alternativo alla password, esponendo qualunque dato alle applicazioni attive. Si stima che oltre 100.000 di queste hanno usufruito per anni di questo bug per tracciare gli utenti del social network. Si stima che nel corso degli anni, centinaia di migliaia di applicazioni possono avere inavvertitamente trapelato milioni di token di accesso a terzi. Le applicazioni possono utilizzare questi gettoni o le chiavi per eseguire determinate azioni per conto dell'utente o accedere al profilo dell'utente. Ogni token o 'chiave di riserva' è associato a un gruppo selezionato di autorizzazioni, come leggere la vostra bacheca, l'accesso al profilo del vostro amico, il vostro intervento sulle bacheche, ecc.


Durante il processo di installazione dell'applicazione, l'applicazione richiede all'utente di concedere le autorizzazioni per queste azioni. Su concessione di tali autorizzazioni, l'applicazione ottiene un token di accesso, come mostrato nella figura di seguito.


Usando questo token di accesso, l'applicazione può ora accedere alle informazioni dell'utente o eseguire operazioni per conto dell'utente. https://graph.Facebook.com/me/accounts access_toke...?. Per impostazione predefinita, la magior aprte dei token di accesso scadono dopo poco tempo, tuttavia l'applicazione può richiedere token di accesso offline che permettono loro di utilizzare questi token finché non si cambia la password, anche quando non si è loggati. Per impostazione predefinita, Facebook utilizza ora OAUTH2.0 per l'autenticazione. Tuttavia, i sistemi di autenticazione più anziani sono ancora supportati e viene utilizzato da centinaia di migliaia di applicazioni. Quando un utente visita apps.Facebook.com/AppName, Facebook invia prima la domanda di una quantità limitata di informazioni non identificabili sull'utente, come il proprio paese, località e fascia di età. Utilizzando queste informazioni, l'applicazione può personalizzare la pagina. La domanda deve quindi reindirizzare l'utente a una pagina di dialogo di autorizzazione, come si vede nella foto seguente.


L'applicazione utilizza un reindirizzamento sul lato client per reindirizzare l'utente alla familiare finestra di dialogo dell'autorizzazione richiesta. Questa perdita indiretta potrebbe accadere se l'applicazione utilizza un lascito di Facebook API e ha i seguenti cattivi parametri "return_session = 1" e "session_version = 3", come parte del loro codice di reindirizzamento, come si vede nella figura di seguito.


Se questi parametri vengono utilizzati, Facebook restiuisce successivamente il token di accesso, inviando una richiesta HTTP che contiene il token di accesso del URL per l'host dell'applicazione. L'applicazione Facebook è ora in grado potenzialmente di perdere inavvertitamente il token di accesso a terze parti e, purtroppo, molto spesso per caso. In particolare, questo URL, compreso il token di accesso, viene passato agli inserzionisti di terze parti come parte del campo referrer delle richieste HTTP. Ad esempio, se la prima pagina di questa applicazione ha richiesto risorse da un URL esterno utilizzando un tag iframe da un inserzionista, il token di accesso quindi verrà trapelato nel campo referrer. Questo è illustrato nella figura sotto.


Facebook ha confermato le perdite ed ha comunicato la modifica per evitare che questi gettoni di ottenere trapelato. Non vi è alcun buon modo per stimare i token di accesso già trapelati in quanto le domande di rilascio Facebook risalgono già nel 2007. Nishant Doshi e Wueest Candid di Symantec sono accreditati per la scoperta di questo problema. Symantec teme che molti di questi gettoni potrebbero essere ancora disponibili nei file di log dei server di terze parti o ancora attivamente utilizzati dai pubblicitari. Gli utenti di Facebook preoccupati possono cambiare le password Facebook per invalidare token di accesso trapelato. Cambiare la password invalida questi token ed è equivalente a "cambiare il blocco" sul vostro profilo Facebook. Facebook ha risposto, aggiornando la Developer roadmap per l’adozione di strumenti più sicuri.

Nessun commento:

Posta un commento