В Facebook реализован целый ряд мер безопасности, предназначенных для защиты учетных записей пользователей от взлома. К примеру, многие приложения социальной сети используют специальный маркер доступа (access token), который должен быть подтвержден пользователем, чтобы программа могла получить временный и безопасный доступ к различным API-интерфейсам Facebook.
Таким образом, путем подтверждения соответствующего запроса от того или иного приложения, пользователь разрешает ему получить доступ к строго определенной информации своей учетной записи. При этом упомянутый маркер доступа хранит информацию о собственном сроке действия, предоставленных программе правах доступа, а также о том, каким приложением он был сгенерирован.
Исследователь безопасности из Египта Ахмед Эльсобки (Ahmed Elsobky) опубликовал пример проведения MITM-атаки на пользователей Facebook, позволяющей получить доступ к этому маркеру. По словам эксперта, проведение подобной атаки возможно из-за того, что приложения социальной сети не используют HTTPS.
Отметим, что приложения, получившие соответствующие привилегии от пользователя, могут публиковать и удалять контент Facebook от имени этого пользователя. При этом для доступа используется access token, а не пароль владельца учетной записи. Таким образом, любой, кто завладел маркером может также получить доступ к конфиденциальным данным, а также может выполнять любые действия (на которые ранее было выдано разрешение) от имени пользователя до тех пор, пока маркер является валидным.
В Facebook заверяют, что им известно о слабых местах данной технологии, и команда уже работает над усовершенствованием официальных приложений социальной сети, поскольку им «заранее выдаются необходимые привилегии». В то же время, разработчики социальной сети отмечают, что в настоящий момент они не могут заняться той же проблемой в отношении программ независимых разработчиков.
«К сожалению, для сторонних приложений наши методы решения проблему будут означать необходимость использовать HTTPS любым сайтом, интегрированным с Facebook, что в настоящий момент просто не практично», - поясняют представители социальной сети.
Источник: SecurityLab
|
