Программное обеспечение социальной сети Facebook восприимчиво к определенным типам атак, которые могут позволить потенциальным злоумышленникам захватить контроль над аккаунтом пользователя, когда тот взаимодействует с третьим сайтом. Об этом сегодня в своем блоге сообщил известный специалист по ИТ-безопасности и автор нескольких книг по защите от взлома Нитеш Дханжани.
Он отмечает, что архитектурная уязвимость в Facebook предоставляет доступ к пользовательским данным и третьим приложениям без какого-либо запроса со стороны пользователей.
Facebook применяет всплывающие окна для предупреждения пользователей, когда те решат добавить любые третьи приложения на ПК или в свой блог, таким образом, чтобы у пользователей была возможность передумать до того, как начнется реальная загрузка приложений. Однако не так давно Facebook изменила политику и теперь некоторые приложения могут использовать так называемые неявные функции авторизации, не предупреждая пользователей. Таким образом, сторонние сайты могут получить доступ к ряду пользовательских данных.
"Такой подход позволяет Facebook получить дополнительные доходы от размещения приложений, но ставит под угрозу данные пользователей. В Facebook сочли, что любое предупреждение - это сдерживающий фактор, который, вероятно, может склонить пользователя к отказу от покупки", - пишет Дханжани в своем блоге.
По его словам, представленная атака - это разновидность атак ClickJacking или мошенничества с кликами.
Напомним, что ранее в наличии подобных уязвимостей был уличен и сайт микроблоггинга Twitter.
Источник: CyberSecurity
|
