Grave bug di sicurezza permetteva accesso a qualsiasi profilo di Facebook

Uno sviluppatore Web ha scoperto una grave falla di sicurezza su Facebook che avrebbe permesso ad un attaccante di accedere a qualsiasi parte del profilo di uno sconosciuto tramite le autorizzazioni applicazioni. Anche se Facebook ha risolto questo problema, Nir Goldshlager, specialista di sicurezza delle applicazioni che cerca questo tipo di difetti professionalmente, ha trovato più bug nell'autorizzazione app che avrebbero bisogno di essere fissate, secondo il suo blog. 

Le autorizzazioni app sono ciò che gli sviluppatori utilizzano per accedere ai dati utente necessari per eseguire le loro applicazioni. Gli utenti forniscono agli sviluppatori l'autorizzazione di accesso quando si installano le loro applicazioni. Nir Goldshlager ha trovato un paio difetti nel servizio OAuth di Facebook e ha descritto le sue scoperte sul suo blog. Lo sviluppatore ha notificato al social network la questione ed ha atteso prima di rendere pubblica la sua scoperta.

Facebook non ha voluto commentare sugli altri difetti che Goldshlager potrebbe aver trovato, ma ha detto che il bug originale rilevato non è stato sfruttato realmente dagli sviluppatori di applicazioni su Facebook. "Ci complimentiamo con il ricercatore di sicurezza che ha portato questo problema alla nostra attenzione e per averlo segnalato al responsabile del nostro bug White Hat Program", ha scritto un rappresentante di Facebook a CNET via email.

"Abbiamo lavorato con il team per comprendere la portata della vulnerabilità, che ci ha permesso di risolvere il problema senza la prova che questo bug sia stato sfruttato in natura. In seguito alla segnalazione del problema su Facebook, non abbiamo alcuna prova che gli utenti siano stati influenzati da questo bug. Abbiamo fornito un premio al ricercatore per ringraziarlo di aver contributo alla sicurezza di Facebook", ha concluso il rappresentate del social network.

L'azienda non ha precisato quando Goldshlager ha segnalato il difetto. Goldschlager ha trovato un bug trovato che gli ha permesso di rubare il token di accesso e ottenere l'accesso completo a un profilo come sviluppatore. Ciò ha incluso i messaggi, gestione delle pagine, foto private e video. Mentre la maggior parte delle applicazioni su Facebook sono applicazioni di terze parti che gli utenti devono approvare manualmente, ci sono alcune applicazioni integrate che sono pre-approvate. 

Una di queste applicazioni è Facebook Messenger, il cui token di accesso non ha scadenza a meno che l'utente cambia la sua password e dispone di autorizzazioni estese per accedere ai dati dell'account. Facebook Messenger è in grado di leggere, inviare, caricare e gestire i messaggi, notifiche, foto, e-mail, video, e altro ancora. La vulnerabilità manipola l'URL trovato su m.facebook.com e touch.facebook.com, permettendo di rubare il token di accesso di un utente.

L'Url di attacco avrebbe potuto essere accorciato con uno dei tanti servizi URL Shortener e inviato agli utenti mascherato da un link a qualcosa d'altro. L'attacco avrebbe anche lavorato sugli account Facebook con autenticazione a due fattori attivata. Con il token di accesso e l'ID utente di Facebook, un utente malintenzionato è in grado di estrarre informazioni dall'account utilizzando il Graph API Explorer, uno strumento per sviluppatori disponibile sul sito di Facebook.

Non è la prima volta che un ricercatore di sicurezza trova una grave falla nel social network creato da Mark Zuckerberg. A luglio del 2011, Reda Cherqaoui, 22 anni, esperto di sicurezza informatica, aveva trovato un bug che permetteva di accedere ai dati degli utenti di Facebook, senza bisogno di scoprirne nome utente e password. Il consiglio in questo caso è quello di essere cauti nell'installare applicazioni e leggere sempre le autorizzazioni che vengono richieste dallo sviluppatore. Potete controllare l'elenco delle app installate sul vostro profilo a questo link.

Facebook controlla i link dei messaggi privati, bug incrementava i Mi Piace

"Quando si invia un link a qualcuno in un messaggio privato su Facebook, quant'è privato?" E' ciò che si è chiesto il Wall Street Journal nei giorni scorsi. Un recente video online mostra che il sito di social network analizza i link che si stanno inviando e registra i "Like" che vengono dati alle pagine. E' solo un esempio di come messaggi online che sembrano privati ​​sono spesso effettivamente esaminati dai sistemi di sicurezza di Facebook per analizzare i dati.

Stalkbook: scoprire tutte le informazioni di un profilo Facebook non amico

Se siete laureati alla ricerca di un lavoro o di lavoro professionale, se desiderate mantenere la vostra carriera e vita personale separati, è probabile che avrete meticolosamente gestito le impostazioni della privacy di Facebook in modo che gli estranei non sono in grado di visualizzare le vostre foto, i check-in sul social network, e altre informazioni private. Tuttavia, anche se pensate di avere tutto sotto controllo, uno sviluppatore Web ha trovato un modo per aggirare l'intero sistema di privacy di Facebook che permetterà a chiunque di vedere il vostro profilo se avete amici in comune.

Mentre Mark Zuckerberg è riuscito a depositare il suo primo brevetto sulla privacy dei profili, chiamato opportunamente Stalkbook, il giovane laureato al Massachusetts Institute of Technology (MIT) Oliver Yeh ha creato un'applicazione Facebook che raccoglie i dati degli utenti come gli sviluppatori di terze parti accedono alle informazioni di Facebook tramite l'API della piattaforma. Queste informazioni permettono di visualizzare le informazioni personali di Yeh ad un estraneo, che può sostanzialmente sfruttare e condividere su Stalkbook. Yeh spiega un esempio, come riporta il sito di tecnologia Digital Trends.

"Con questa API, potrò avere accesso alle informazioni del mio amico Trevor. Stalkbook non fa altro che passare attraverso tutte le informazioni di un utente e le informazioni di tutti gli amici dell'utente e memorizzare una copia cache del sito, in modo che quando qualcun altro visita Stalkbook, può avere accesso ad una versione cache dei dati di Facebook, anche se non si dispone dell'autorizzazione per accedere alle informazioni di Trevor", ha spiegato il ricercatore a IEEE. In parole semplici, l'applicazione funziona mettendo l'utente, sotto le sembianze del proprio amico di Facebook in modo da poter visualizzare le informazioni personali di un altro profilo di cui non è amico.

E come altre persone si iscrivono a Stalkbook, si ottiene un effetto di rete, in cui basta forse il 10 per cento di Facebook per riuscire a compromettere dall'80 al 90 percento di Facebook. Si scopre così che il problema della privacy di Facebook è anche peggiore di quanto pensassimo. Per le persone sulla rete, c'è un problema simile. Se state evitando le applicazioni, sia che si tratti Farmville o Huffington Post, perchè le applicazioni  vogliono l'accesso a tutte le informazioni, si scopre che restare lontani da loro non è sufficiente. Se i vostri amici hanno espresso il consenso, le applicazioni non solo compromettono la privacy dei vostri amici, ma anche la vostra.

Perchè non avere il controllo su come i vostri amici usano i loro account, non si ha un controllo effettivo sul proprio. Ad esempio, ecco i termini di servizio per l'Huffington Post: "Facendo clic su 'Visita il sito' sopra, questa app riceverà: le vostre informazioni di base, le informazioni sul profilo, descrizione, data di nascita, interessi e gusti. Questa applicazione può postare sul vostro account, compresi gli articoli che leggete e altro ancora". Per dimostrare quanto sia grave il problema della privacy vi sarà un prossimo hackathon sponsorizzato dal sito TechCrunch. Se questo ciò è un pò troppo complicato, questo diagramma dovrebbe semplificare:

(Credit: Sandy Woodruff)

Ci sono alcuni fattori che potrebbero impedire a Stalkbook di essere messo a disposizione del pubblico generale. Sfortunatamente per Yeh e fortunatamente per gli utenti di Facebook, infatti, Stalkbook va contro i termini di servizio di Facebook (Dichiarazione dei diritti e delle responsabilità). Nella sezione Sicurezza dei TOS di Facebook, il punto numero cinque afferma chiaramente: "Non cercare di ottenere informazioni di accesso o accedere ad account di altri utenti". Mentre è normale per gli sviluppatori di ricevere alcuni dati degli utenti per eseguire le loro applicazioni, è contro le policy di Facebook ottenere informazioni e l'accesso all'account che appartengono a qualcun altro.

Secondo le disposizioni speciali per le applicazioni degli sviluppatori, il punto numero cinque della linea guida precisa inoltre che "I dati degli utenti non verranno utilizzati, visualizzati, condivisi o trasferiti in modo non conforme alla normativa sulla privacy. CNet ha contattato Facebook per un commento su questa storia. E' stato detto che la società non è in grado di fornire un commento sull'app di Yeh. Un portavoce di Facebook ha, tuttavia, indicato una sezione delle loro Use Policy dati dal titolo "Controllo di quali delle tue informazioni vengono condivise dagli altri utenti quando utilizzano le applicazioni".

Questa pagina web spiega tutto sulla condivisione e resharing delle informazioni su Facebook, ma l'ultima riga di questa sezione è quella che si applica qui: "Se un'applicazione richiede l'autorizzazione ad altri per accedere alle tue informazioni, tale applicazione potrà utilizzare dette informazioni esclusivamente in relazione alla persona che ha fornito l'autorizzazione e a nessun altro". Potete controllare la maggior parte delle informazioni che gli altri possono condividere con le applicazioni che usano tramite le impostazioni Inserzioni, applicazioni e siti Web. Questi comandi, tuttavia, non vi consentono di limitare l'accesso alle vostre informazioni pubbliche e alla lista dei vostri amici.

Facebook lento a causa dell'aggiornamento della versione sito mobile

Se vi chiedete il perchè di tanti problemi sulla piattaforma in queste ore, Facebook ha lanciato un importante aggiornamento al proprio sito web mobile per dispositivi come l'iPhone e iPod touch, secondo un posting blog di Lee Byron, Interactive Designer Information presso Facebook. In precedenza, Facebook ha avuto due siti web per cellulari: touch.facebook.com per touchscreen e m.facebook.com per altri cellulari. La diffusione dei telefonini è totale. La maggior parte di questi telefonini sono device con cui poter fare di tutto - leggere la posta, chattare, e, soprattutto , navigare su Internet.

Facebook rende più semplice il testo delle politiche sulla privacy

Dopo aver ricevuto numerose lamentele e suggerimenti Facebook ha deciso di modificare in senso più user-friendly le policy sulla privacy. Non è cambiato nulla nella sostanza, ma le linee guida che descrivono la politica sulla privacy del social network sono state riscritte con una forma diversa, più semplice da leggere e comprendere. Facebook ha rilasciato una lunga risposta al piano della Federal Trade Commission (Commissione Federale del commercio - FTC) per proteggere la privacy on-line, delineando a lungo termine la filosofia sociale di Rete e sulla questione dei suoi progetti futuri.

L'antispam di Facebook blocca un'applicazione da 3,6 milioni d'utenti

Breakup Notifier è l’applicazione-cupido che avvisa gli utentei di Facebook via email non appena viene modificata la situazione sentimentale sul social network. Adesso non soltanto sarà possibile modificare lo stato sentimentale utilizzando le due nuove opzioni introdotte, ma potrete sempre essere aggiornati via email non appena viene modificata la situazione sentimentale su Facebook. Per far ciò dovrete accedere al sito dell'applicazione, effettuare il login Facebook e attendere che l’app carichi il vostro elenco amici. Al momento Facebook ha però bloccato l'accesso all'applicazione, come si legge sul sito.

A quanto pare il motivo della sua rimozione secondo un post sul sito di Tech Crunch, che ha pubblicato il contenuto della e-mail spedita da Facebook al creatore di Breakup Notifier Dan Loewenherz, è da ricercarsi nell’ampio traffico generato (più di 100.000 utenti in meno di 24 ore) dalla sua applicazione:

"Per garantire un'esperienza utente positiva sulla piattaforma, utilizziamo schermi routine automatizzati che verificano i feedback degli utenti, il machine learning, vari algoritmi e in considerazione di questi, rimuoviamo le applicazioni spam. Ad esempio, se un'applicazione sta facendo un numero eccessivo di chiamate Stream.publish e la ricezione di un gran numero di segnalazioni degli utenti, essa può essere rimosso dai nostri sistemi automatizzati per proteggere l'esperienza utente e l'ecosistema della piattaforma."

Con 3.673.484 milioni di utenti, il sistema ha individuato l’applicazione come un possibile spam e, per contrastare eventuali usi fraudolenti dei contatti e dei feedback degli utenti, il sistema impedisce in automatico l’uso di tale applicazione. Per cui, secondo Facebook, il sistema immunitario del social network ha bandito l’applicazione di Loewenherz per il gran numero di chiamate API. Nonostante sia stato disabilitato anche il suo account personale, Loewenherz ha detto di essere disponibile a sostenere le istanze di Facebook. Non si tratta comunque dell'unica applicazione bloccata questa settimana: Facebook ha stoppato, anche se parzialmente, l'applicazione anti-fumo dell'olandese Blackmail Yourself.



Un portavoce di Facebook ha dato la seguente dichiarazione che chiarisce la portata del blocco di Yourself e spiega ciò che è successo attualmente con Breakup Notifier:

"Abbiamo sistemi automatizzati per garantire che le applicazioni su Facebook Platform forniscano agli utenti un'esperienza positiva, e stiamo attualmente esaminando la questione che riguarda Breakup Notifier. Inoltre, non è stata bloccata l'applicazione Blackmail Yourself. Alcune funzioni sono state temporaneamente disabilitate perchè questa settimana abbiamo lavorato con gli sviluppatori per garantire che l'applicazione rispetti tutte le nostre politiche, ma è stata e continua ad essere accessibile."

Un bug nelle API Facebook ha permesso messaggi status non autorizzati

Facebook ha imputato un recente incidente di sicurezza che ha portato alla visualizzazione di un post non autorizzato sulla pagina ufficiale di Mark Zuckerberg, ad un bug in una interfaccia di programmazione (API). Lo stesso bug ha colpito altre pagine, ma da Facebook assicurano che non c'è stato alcun accesso non autorizzato ai dati personali degli utenti.

La pagina del CEO di Facebook è stata messa in linea dopo che Martedì sera qualcuno è riuscito a pubblicare un aggiornamento su di essa che criticava la strategia finanziaria della società. "Se Facebook ha bisogno di soldi, invece di andare dalle banche, perché non consentire agli utenti di Facebook di investire in Facebook in un modo sociale? Perché non trasformare Facebook in un 'business sociale' nel modo in cui il vincitore Premio Nobel Muhammad Yunus ha descritto?", si leggeva in parte del messaggio canaglia che ha raccolto più di 1.800 "mi piace" e più di 400 commenti prima che fosse tolto. 

Il messaggio inviato alla fan page di Zuckerberg si riferisce all'annuncio di Goldman Sachs che ha deciso di confinare "a clienti non americani" l'offerta di azioni Facebook, a causa "dell'intensa attenzione da parte dei media". Ci sono state un sacco di speculazioni su come la violazione della sicurezza si sia verificata, con le possibili cause della compromessione, inclusi il phishing, attacchi di forza bruta o anche infezioni da malware. Tuttavia, il portavoce di Facebook ha rivelato a CNET che il colpevole è stato un bug in un editoriale API remota che solo gli attaccanti hanno potuto sfruttare per pubblicare i messaggi non autorizzati. 

Nello specifico, il bug è stato in una API (Application Programming Interface) che consente di pubblicare le funzionalità del sito, ha detto Ryan McGeehan, responsabile della sicurezza in risposta all'incidente a Facebook. "Un bug abilitato nei messaggi di stato da parte di persone non autorizzate in una manciata di pagine pubbliche. Il bug è stato risolto...", ha dichiarato in una email Joe Sullivan, chief security officer di Facebook a CNET. "Chiunque sia stato il responsabile ha avuto soltanto la possibilità di pubblicare sulla pagina e non ha avuto accesso ai dati privati dell'account Facebook".

"Si è trattato d'un errore molto limitato dal fatto che applicato ha avuto solo la possibilità di inviare", ha precisato. "E 'stupefacente il livello di speculazione, senza informazioni precise ", ha proseguito Joe Sullivan - "C'era il (falso) presupposto che vi fosse stato l'accesso non autorizzato alle informazioni... Il nostro impegno è quello di cercare di evitare l'incredibile e rispondere rapidamente quando succede qualcosa ", ha sottolineato. A quanto pare lo stesso bug è stato sfruttato per pubblicare i messaggi non autorizzati su molti altri account di alto profilo in aggiunta a Mark Zuckerberg, ma l'azienda ha rifiutato di assegnare loro un nome. 

Una delle pagine colpite potrebbe essere stata quella del presidente francese Nicolas Sarkozy. Domenica scorsa, qualcuno ha postato un annuncio falso sulla sua pagina fan sostenendo che egli non cercherà la rielezione dopo che il suo attuale mandato sarà terminato. Sarkozy in seguito ha rilasciato un aggiornamento di avvertimento agli utenti della compromissione e dissipare le voci. Facebook ha rifiutato di confermare se la sua pagina sia stata attaccata con lo stesso problema API. CNET ha chiesto a Sullivan se fosse a conoscenza del responsabile della violazione, ma Sullivan ha detto di non poter commentare ulteriormente perché si tratta di una indagine attiva. 

Graham Clulely, senior technology consultant di Sophos, aveva detto in una dichiarazione che "Mark Zuckerberg dovrebbe prestare attenzione alla sua vita privata e alle impostazioni di sicurezza dopo questa imbarazzante violazione". Facebook ha annunciato che ora offre agli utenti la possibilità di assicurare la loro connessione con il sito utilizzando HTTPS (Hypertext Transfer Protocol Secure). L'attivazione di una piena sessione HTTPS elimina la possibilità per i malintenzionati di compromettere l'account Facebook utilizzando strumenti come il Firefox plug-in chiamato Firesheep.