Grave bug di sicurezza permetteva accesso a qualsiasi profilo di Facebook

Uno sviluppatore Web ha scoperto una grave falla di sicurezza su Facebook che avrebbe permesso ad un attaccante di accedere a qualsiasi parte del profilo di uno sconosciuto tramite le autorizzazioni applicazioni. Anche se Facebook ha risolto questo problema, Nir Goldshlager, specialista di sicurezza delle applicazioni che cerca questo tipo di difetti professionalmente, ha trovato più bug nell'autorizzazione app che avrebbero bisogno di essere fissate, secondo il suo blog. 

Le autorizzazioni app sono ciò che gli sviluppatori utilizzano per accedere ai dati utente necessari per eseguire le loro applicazioni. Gli utenti forniscono agli sviluppatori l'autorizzazione di accesso quando si installano le loro applicazioni. Nir Goldshlager ha trovato un paio difetti nel servizio OAuth di Facebook e ha descritto le sue scoperte sul suo blog. Lo sviluppatore ha notificato al social network la questione ed ha atteso prima di rendere pubblica la sua scoperta.

Facebook non ha voluto commentare sugli altri difetti che Goldshlager potrebbe aver trovato, ma ha detto che il bug originale rilevato non è stato sfruttato realmente dagli sviluppatori di applicazioni su Facebook. "Ci complimentiamo con il ricercatore di sicurezza che ha portato questo problema alla nostra attenzione e per averlo segnalato al responsabile del nostro bug White Hat Program", ha scritto un rappresentante di Facebook a CNET via email.

"Abbiamo lavorato con il team per comprendere la portata della vulnerabilità, che ci ha permesso di risolvere il problema senza la prova che questo bug sia stato sfruttato in natura. In seguito alla segnalazione del problema su Facebook, non abbiamo alcuna prova che gli utenti siano stati influenzati da questo bug. Abbiamo fornito un premio al ricercatore per ringraziarlo di aver contributo alla sicurezza di Facebook", ha concluso il rappresentate del social network.

L'azienda non ha precisato quando Goldshlager ha segnalato il difetto. Goldschlager ha trovato un bug trovato che gli ha permesso di rubare il token di accesso e ottenere l'accesso completo a un profilo come sviluppatore. Ciò ha incluso i messaggi, gestione delle pagine, foto private e video. Mentre la maggior parte delle applicazioni su Facebook sono applicazioni di terze parti che gli utenti devono approvare manualmente, ci sono alcune applicazioni integrate che sono pre-approvate. 

Una di queste applicazioni è Facebook Messenger, il cui token di accesso non ha scadenza a meno che l'utente cambia la sua password e dispone di autorizzazioni estese per accedere ai dati dell'account. Facebook Messenger è in grado di leggere, inviare, caricare e gestire i messaggi, notifiche, foto, e-mail, video, e altro ancora. La vulnerabilità manipola l'URL trovato su m.facebook.com e touch.facebook.com, permettendo di rubare il token di accesso di un utente.

L'Url di attacco avrebbe potuto essere accorciato con uno dei tanti servizi URL Shortener e inviato agli utenti mascherato da un link a qualcosa d'altro. L'attacco avrebbe anche lavorato sugli account Facebook con autenticazione a due fattori attivata. Con il token di accesso e l'ID utente di Facebook, un utente malintenzionato è in grado di estrarre informazioni dall'account utilizzando il Graph API Explorer, uno strumento per sviluppatori disponibile sul sito di Facebook.

Non è la prima volta che un ricercatore di sicurezza trova una grave falla nel social network creato da Mark Zuckerberg. A luglio del 2011, Reda Cherqaoui, 22 anni, esperto di sicurezza informatica, aveva trovato un bug che permetteva di accedere ai dati degli utenti di Facebook, senza bisogno di scoprirne nome utente e password. Il consiglio in questo caso è quello di essere cauti nell'installare applicazioni e leggere sempre le autorizzazioni che vengono richieste dallo sviluppatore. Potete controllare l'elenco delle app installate sul vostro profilo a questo link.

Falla di sicurezza espone Facebook per Android e iOS a furto identità

Una nuova grave vulnerabilità di sicurezza è stata scoperta in Facebook per Android e Facebook per iOS dallo sviluppatore inglese Gareth Wright. In entrambi i casi ad essere a rischio sono le credenziali d’accesso degli utenti, le quali sono archiviate localmente in chiaro senza alcun sistema di crittografia, per cui risulta molto semplice recuperare questi dati attraverso una connessione USB o, più probabilmente, tramite applicazioni maligne.

Account Chooser, un account universale per l'accesso ai servizi Web

Account Chooser è un nuovo servizio per la gestione di account multipli utilizzati per accedere a vari servizi online in completa sicurezza e con facilità. Il servizio è promosso dalla OpenID Foundation, organismo di cui fanno parte le principali compagnie Web mondiali e fra queste Google, Facebook, Microsoft e Yahoo!.

Accoun Chooser consente di utilizzare account già attivi per accedere ad altri siti riducendo il numero di account aperti e cancellando il problema ormai diffuso della frammentazione dei dati personali online. Molti computer sono condivisi da più persone che hanno ciascuna i propri account.

L'idea ha il preciso compito di semplificare e di rendere più sicuro la gestione dei profili utente in Rete evitando a questi ultimi di duplicare ovunque la propria identità digitale. A differenza di altri servizi online già attivi, che permettono di accedere ai propri account con l’utilizzo di un’unica password mettendo a rischio la sicurezza di più account contemporaneamente, Account Chooser utilizza una nuova tecnologia:

l’utente verrà invitato a scegliere un account da far gestire ad Account Chooser, che si premurerà di garantirne la sicurezza ed utilizzando i dati in esso contenuti potrà accedere a tutti gli altri account collegati. Se un utente si è registrato su un sito web per lungo tempo con una password, l'esperienza Account Chooser renderà facile aggiornare il provider d'identità sul sito Web.



Dopo l'aggiornamento del proprio login bisogna selezionatore l'account, fare clic su un pulsante o digitare il proprio indirizzo e-mail. L'utente sarà quindi reindirizzato a un provider di identità, e darà il proprio consenso per essere identificato sul sito. Sarà possibile utilizzare gli account personali già esistenti (per esempio la password e l'user Id di Gmail, Hotmail o di Facebook) per accedere ad altri siti Web che richiedono la registrazione.

Un problema comune agli utenti finali è quando si visita un sito web e non ricordare di avere già un account. Generalmente si cerca di passare alla fase di creazione dell'account, generando un errore sul loro account esistente. Con Account Chooser, questo problema non esisterà più. Con Account Chooser, un sito web è in grado di rilevare se il computer è utilizzato da qualcuno che probabilmente ha già un account, perché ci sarà un elenco degli account esistenti.

L'utilizzo di provider di identità, non solo rende più facile per le persone utilizzare i siti Web, ma rende anche più sicuri i propri account. Con i siti Web tradizionali, le persone tendono a riutilizzare la password su più siti. Se gli hacker sono in grado di compromettere anche un unico sito web, possono quindi utilizzare tale password per entrare nell'account di una persona su altri siti.

A meno che la password di un utente è estremamente complessa, ci sono purtroppo delle tecniche molto semplici, come gli attacchi dizionario, che permettono agli hacker di scoprire le password dell'identità di una persona su quasi tutti i siti. Fortunatamente i provider di identità possono essere certificati per confermare l'offerta della protezione contro questi tipi di tecniche.

Il progetto è sviluppato da Eric sachs, project manager di Google e membro del consiglio di amministrazione della Foundation. Il cui codice è in licenza open source: in questo modo gli sviluppatori web potranno implementarlo regolarmente e garantire il pieno accesso a servizi sempre più numerosi.

Rispetto al modello semplificato che prevede il ricorso a una sola parola chiave comune a tutti i profili, bollato dalle società di security come pratica molto rischiosa per i dati sensibili, Account Chooser si fa carico di abilitare in automatico l'accesso "universale" e protetto ai siti e ai servizi Web a cui l'utente si è registrato.

E’ proprio questa nuova tecnica, che dovrebbe garantire un livello di sicurezza maggiore, a rendere unico Account Chooser. Oggi vi sono un paio di provider di identità, ma in futuro ci aspettiamo molti altri. Fra gli standard impiegati per la verifica dell’identità, vi sono OAuth, SAML, e OpenIDConnect.

Via: Techcrunch
Fonte: Account Chooser

Facebook a lavoro per proteggere dal furto dei cookie di sessione

Oltre a spingere per l'HTTPS, Facebook sta lavorando con Google, Yahoo! e Mozilla su una specifica in grado di proteggere i cookie di sessione da furti anche tramite connessioni non crittografate. Chiamata autenticazione di accesso MAC, la specifica è attualmente un progetto Internet Engineering Task Force (IETF) ed è pensato per fornire la verifica di crittografia per alcune porzioni di richieste HTTP. MAC, in questo contesto si riferisce al codice di autenticazione del messaggio, una stringa univoca generata dal client, che consente al server di verificare che la richiesta non sia stata fatta prima.

Supporto HTTPS per tutte le applicazioni Facebook entro ottobre

Facebook ha chiesto a tutti gli sviluppatori sulla sua piattaforma di ottenere i certificati SSL e rendere le loro applicazioni compatibili con HTTPS e OAuth 2.0 entro il 1° ottobre. La società ha presentato i propri piani in un post sul suo blog degli sviluppatori, dicendo che è nel migliore interesse di tutti attuare le due tecnologie al più presto possibile. Facebook ha attivato la connessione HTTPS per full-session da molto tempo, ma l’unico elemento che ha permesso l’utilizzo da un numero considerevole di persone è stato solo quando il sito ha aggiunto la possibilità per gli utenti di effettuare l’impostazione in modo persistente.