Si utilitzes la xarxa Facebook et pot ser del teu interès la següent informació.
----------------
La companyia de seguretat Symantec (Norton) ha descobert que tercers, en particular, anunciants, per accident han tingut accés des de fa 4 anys als comptes d'usuaris de Facebook, incloent perfils, fotos, missatges del xat, l'habilitat de poder publicar missatges i accedir a la informació més privada, encara que no es coneix si aquesta vulnerabilitat ha estat aprofitada per algú amb finalitats malicioses.
Les aplicacions de Facebook, aplicacions web que s'integren en la plataforma de Facebook, són usades a raó de 20 milions de nous usos al dia.
S'ha descobert que en alguns casos, les aplicacions de Facebook basades en IFRAME inadvertidament filtren permisos d'accés a tercers, com anunciants o plataformes d'anàlisi.
No es coneix la xifra d'usuaris afectats, però podria ser de milions de perfils de tota classe.
La vulnerabilitat està en les claus d'autorització (tokens) concedides a l'aplicació quan s'instal·la a un perfil de Facebook. Les aplicacions poden utilitzar aquesta autorització per a realitzar determinades accions en nom de l'usuari o en accedir al perfil de l'usuari. Cada clau s'associa amb un conjunt selecte de permisos, com la lectura del mur, l'accés a el perfil dels teus amics, publicar en el teu mur, etc.
Durant el procés d'instal lació de l'aplicació, l'aplicació demana a l'usuari concedir permisos a aquestes accions. Després de la concessió d'aquests permisos, l'aplicació obté un token d'accés com es veu a la següent imatge.
Per defecte, la majoria dels tokens d'accés expiren després d'un breu període de temps, però, l'aplicació pot demanar tokens d'accés fora de línia els quals permeten utilitzar-los fins que es canviï la contrasenya, fins i tot quan no s'ha iniciat sessió.
Per defecte, Facebook ara utilitza OAUTH2.0 per l'autenticació. No obstant això, es segueix oferint compatibilitat amb sistemes d'autorització anteriors- Quan un usuari visita apps.Facebook.com, Facebook primer envia la sol·licitud d'una quantitat limitada d'informació no identificable sobre l'usuari, com el seu país, la configuració regional i el tram d'edat. Amb aquesta informació, l'aplicació es pot personalitzar la pàgina.
Quan es vol instal·lar una aplicació, s'ha de redirigir l'usuari a una pàgina amb un diàleg de seguretat, com es veu aquí:
L'aplicació utilitza una redirecció javascript per redirigir l'usuari al quadre de diàleg de permisos de l'aplicació. La vulnerabilitat podria succeir aquí si l'aplicació utilitza una versió anterior de l'API de Facebook i té els paràmetres següents en desús, "return_session = 1" i "session_version = 3", com a part del seu codi de redirecció, com es veu en la següent imatge.
Si aquests paràmetres s'utilitzen Facebook posteriorment retorna el token d'accés mitjançant l'enviament d'una petició HTTP que conté els tokens d'accés a l'adreça URL al host (servidor) de l'aplicació.
L'aplicació de Facebook ja està en condicions de fugar dades a tercers sense adonar-se, ja que aquesta URL, que conté el token d'accés exposat a l'adreça, es passa als anunciants com a part del camp remitent HTTP, conegut com HTTP Referer, que conté la adreça visitada anteriorment per l'usuari i que permet als webmasters normalment analitzar si l'usuari visita la pàgina arribant des d'un cercador, enllaçant, o directament.
Resumint, si a la primera pàgina d'aquesta aplicació es demanen recursos des d'una adreça URL externa usant una etiqueta iframe d'un anunciant, a continuació, el token d'accés es filtra en el camp de HTTP Referer, tal i com es mostra a la següent imatge.
Així doncs, qualsevol persona malintencionada podria fer servir aquest token per accedir a tota la informació privada disponible del compte Facebook, així com també efectuar les accions permeses per la aplicació 'infectada' com publicar al mur, llegir historial de xats, etc.
Article original: http://www.symantec.com/connect/blogs/facebook-applications-accidentally-leaking-access-third-parties
[hr]
Des de flog.cat volem aconsellar als usuaris que extremen les precaucions sobre les seves dades personals que publiquen a Internet. Que una empresa tingui 400 milions de dòlars no significa que els seus sistemes siguen segurs ni infal·libles.
Pel que a nosaltres respecta, a la xarxa flog.cat totes les dades estan protegides i aquestes filtracions no poden ocórrer, ja que no es possibilita l'accés a tercers a la informació interna del compte ni s'utilitzen tokens d'accés ni aplicacions, tot el codi està securitzat, s'analitzen les referències, s'evita passar informació get i s'efectuen anàlisis periòdics amb una eina professional.
Per les pàgines que estem preparant, les aplicacions o components especials que es desenvoluparan per certes empreses, seran elaborats per nosaltres o en altre cas certificades abans per nosaltres.
D'altra banda estem pendents d'obtenir el certificat per poder navegar la web sota HTTPS.
