Grave bug Facebook, Symantec invita gli utenti a cambiar password

Le informazioni personali degli utenti di Facebook potrebbero essere state rivelate accidentalmente a soggetti terzi, in particolare inserzionisti, negli ultimi anni. Lo sostiene la società specializzata in sicurezza informatica Symantec sul proprio blog ufficiale. Altri soggetti avrebbero avuto accessi a informazioni personali come profili, fotografie e chat, e potrebbero aver avuto la capacità di postare messaggi. La società ha segnalato questo problema a Facebook, che ha adottato le misure correttive per contribuire ad eliminare questo problema.

Le applicazioni di Facebook sono le applicazioni Web integrate sulla piattaforma Facebook. Secondo Facebook, 20 milioni di applicazioni vengono installate tutti i giorni. Le applicazioni su Facebook sono di due tipologie: FBML o iFRAME. Proprio una caratteristica dell’iframe avrebbe consentito di recuperare il token univoco dell’utente, un metodo alternativo alla password, esponendo qualunque dato alle applicazioni attive. Si stima che oltre 100.000 di queste hanno usufruito per anni di questo bug per tracciare gli utenti del social network. Si stima che nel corso degli anni, centinaia di migliaia di applicazioni possono avere inavvertitamente trapelato milioni di token di accesso a terzi. Le applicazioni possono utilizzare questi gettoni o le chiavi per eseguire determinate azioni per conto dell'utente o accedere al profilo dell'utente. Ogni token o 'chiave di riserva' è associato a un gruppo selezionato di autorizzazioni, come leggere la vostra bacheca, l'accesso al profilo del vostro amico, il vostro intervento sulle bacheche, ecc.

Durante il processo di installazione dell'applicazione, l'applicazione richiede all'utente di concedere le autorizzazioni per queste azioni. Su concessione di tali autorizzazioni, l'applicazione ottiene un token di accesso, come mostrato nella figura di seguito.

Usando questo token di accesso, l'applicazione può ora accedere alle informazioni dell'utente o eseguire operazioni per conto dell'utente. https://graph.Facebook.com/me/accounts access_toke...?. Per impostazione predefinita, la magior aprte dei token di accesso scadono dopo poco tempo, tuttavia l'applicazione può richiedere token di accesso offline che permettono loro di utilizzare questi token finché non si cambia la password, anche quando non si è loggati. Per impostazione predefinita, Facebook utilizza ora OAUTH2.0 per l'autenticazione. Tuttavia, i sistemi di autenticazione più anziani sono ancora supportati e viene utilizzato da centinaia di migliaia di applicazioni. Quando un utente visita apps.Facebook.com/AppName, Facebook invia prima la domanda di una quantità limitata di informazioni non identificabili sull'utente, come il proprio paese, località e fascia di età. Utilizzando queste informazioni, l'applicazione può personalizzare la pagina. La domanda deve quindi reindirizzare l'utente a una pagina di dialogo di autorizzazione, come si vede nella foto seguente.

L'applicazione utilizza un reindirizzamento sul lato client per reindirizzare l'utente alla familiare finestra di dialogo dell'autorizzazione richiesta. Questa perdita indiretta potrebbe accadere se l'applicazione utilizza un lascito di Facebook API e ha i seguenti cattivi parametri "return_session = 1" e "session_version = 3", come parte del loro codice di reindirizzamento, come si vede nella figura di seguito.

Se questi parametri vengono utilizzati, Facebook restiuisce successivamente il token di accesso, inviando una richiesta HTTP che contiene il token di accesso del URL per l'host dell'applicazione. L'applicazione Facebook è ora in grado potenzialmente di perdere inavvertitamente il token di accesso a terze parti e, purtroppo, molto spesso per caso. In particolare, questo URL, compreso il token di accesso, viene passato agli inserzionisti di terze parti come parte del campo referrer delle richieste HTTP. Ad esempio, se la prima pagina di questa applicazione ha richiesto risorse da un URL esterno utilizzando un tag iframe da un inserzionista, il token di accesso quindi verrà trapelato nel campo referrer. Questo è illustrato nella figura sotto.

Facebook ha confermato le perdite ed ha comunicato la modifica per evitare che questi gettoni di ottenere trapelato. Non vi è alcun buon modo per stimare i token di accesso già trapelati in quanto le domande di rilascio Facebook risalgono già nel 2007. Nishant Doshi e Wueest Candid di Symantec sono accreditati per la scoperta di questo problema. Symantec teme che molti di questi gettoni potrebbero essere ancora disponibili nei file di log dei server di terze parti o ancora attivamente utilizzati dai pubblicitari. Gli utenti di Facebook preoccupati possono cambiare le password Facebook per invalidare token di accesso trapelato. Cambiare la password invalida questi token ed è equivalente a "cambiare il blocco" sul vostro profilo Facebook. Facebook ha risposto, aggiornando la Developer roadmap per l’adozione di strumenti più sicuri.

iFrame su pagine di Facebook scatenano le ire degli utenti

Da qualche settimana sono presenti su Facebook delle pagine che all'utente meno esperto potrebbero apparire come offensive e diffamatorie nei propri confronti, scatenando le ire di molti utenti che avrebbero presentato denuncia alla Polizia Postale. Stiamo parlando di quelle pagine che utilizzano l'applicazione FBML di Facebook, che permette di aggiungere funzionalità avanzate alle pagine utilizzando l'applicazione Facebook Static FBML. Questa applicazione aggiunge un riquadro alle pagina in cui l'utente può seguire il rendering di HTML o FBML (Facebook Markup Language) per una personalizzazione avanzata della pagina. E qualche furbacchione ha pensato bene di creare una pagina FBML di atterraggio sulla propria pagina, per incrementare il numero di iscritti. Se infatti ci troviamo a passare da una di queste pagine, ecco cosa leggiamo:

Sei Una put***a
Protezione Account 'VAFFAN****o


Tua mamma e come i mobili dell'ikea:
'Tutti se la mon**no'
F**K YOU.


Guardale la faccia di m***a..
Clica


→ QUI ←

Si tratta di iFrame che permette di rilevare l'ID dell'utente e di conseguenza il proprio nome e cognome. Chiunque si troverà a passare da pagine siffatte, otterrà il medesimo risultato col proprio profilo. Di seguito una parte del codice rilevato sulla pagina

Facebook aveva annunciato che gli amministratori delle pagine avrebbero potuto creare applicazioni Tabs tramite iframe da caricare all'interno delle pagine al posto del più restrittivo FBML. E dopo il lancio delle nuove Pagine Facebook, gli esperti di sicurezza temevano che l'introduzione di iframe per le pagine di Facebook avrebbe aperto le porte agli abusi, rendendo ancora più facile il lavoro degli spammer sul social network. In passato le schede che potevano essere aggiunte a queste pagine sono state create in due modi: il primo ha utilizzato l'FBML Facebook app. Lo statico Facebook Markup Language (FBML) o HTML ha permesso di creare queste schede per le pagine, ma non è stato particolarmente coinvolgente, è stato molto semplice da usare. Adesso però, con le nuove pagine vi è un ulteriore rischio. Il consiglio è semplicemente quello di segnalare queste pagine come spam.

Nuova minaccia per gli utenti di Facebook dall'iframe delle pagine

Giovedì scorso Facebook ha annunciato che gli amministratori delle pagine potranno creare applicazioni Tabs tramite iframe da caricare all'interno delle pagine al posto del più restrittivo FBML (Facebook Markup Language). E dopo il lancio delle nuove Pagine Facebook, gli esperti di sicurezza temono che l'introduzione di iframe per le pagine di Facebook aprirà le porte agli abusi, e renderà ancora più facile il lavoro dei cybercriminali sul social network.