Μια νέα έρευνα αναφέρει ότι το χαρακτηριστικό Facebook Login, μπορεί να χρησιμοποιηθεί για να κλαπούν πληροφορίες χρηστών όταν συνδέονται σε ιστότοπους τρίτων μέσω του Facebook ΙD τους. Αυτό το κενό ασφάλειας επιτρέπει σε πολλές υπηρεσίες διαφήμισης και ανάλυσης, να συλλέγουν δεδομένα για στοχευμένες διαφημίσεις.
Οι ερευνητές στον τομέα της ασφάλειας έχουν εντοπίσει δύο τύπους ευπάθειας όπου τρίτες ιστοσελίδες:
- μοιράζονται τα στοιχεία του Facebook που παρέχονται με άλλους ιστότοπους ή υπηρεσίες
- παρακολουθούν τους χρήστες στο διαδίκτυο μέσω της υπηρεσίας Facebook Login
Το πρώτο είναι απλό: όταν ένας χρήστης συνδεθεί με το Facebook ID του, τότε όχι μόνο αυτός ο ιστότοπος, αλλά και άλλoι ιστότοποι ή υπηρεσίες που είναι ενσωματωμένες σε αυτόν, αποκτούν πρόσβαση στα δεδομένα του χρήστη.
Αυτό πρακτικά σημαίνει ότι ο ιστότοπος που επισκέπτεστε, όπως και οι υπηρεσίες που συνδέονται με αυτόν, μπορούν να “τραβήξουν” το email σας και το “δημόσιο προφίλ” σας (όνομα, ηλικία, φύλο, τοποθεσία και φωτογραφία προφίλ).
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Μόλις παραχωρηθεί η πρόσβαση, κάθε Javascript που υπάρχει στη σελίδα μπορεί να έχει πρόσβαση στις προσωπικές σας πληροφορίες.
Η δεύτερη ευπάθεια επιτρέπει σε third-party trackers να παραβιάζουν την ανωνυμία των χρηστών, εκμεταλλευόμενοι iframes για στοχευμένες διαφημίσεις μέσω του Facebook Login. Αυτή η παραβίαση γίνεται με παρόμοιο τρόπο όπως και παραπάνω, απλά είναι λίγο πιο περίπλοκη.
Σε αυτήν την περίπτωση, εάν ένας ιστότοπος επιτρέπει σε έναν χρήστη να συνδεθεί χρησιμοποιώντας το API του Facebook, κακόβουλοι third-party trackers μπορούν να ενσωματώσουν ένα κρυφό iframe συλλέγοντας τα δεδομένα του χρήστη, μέσω των ενσωματωμένων, στον ίστοτοπο, scripts.
Ωστόσο, οι ερευνητές επισημαίνουν ότι: “Αυτή η ακούσια έκθεση των δεδομένων του Facebook σε τρίτους δεν οφείλεται σε σφάλμα του Facebook Login. Αντίθετα, οφείλεται στην έλλειψη ορίων ασφαλείας μεταξύ των first-party και των third-party scripts στο διαδίκτυο.”
Σε κάθε περίπτωση όμως το Facebook θα μπορούσε να ελέγξει αυτήν την κατάχρηση δεδομένων, εξετάζοντας το API του και εμποδίζοντας την πρόσβαση τρίτων στο ID του χρήστη.