Annons
![Facebook tyst lappar ett massivt säkerhetshål, miljontals potentiellt påverkade [Nyheter] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook har bekräftat påståenden från Symantec över miljoner läckta "access-tokens". Dessa tokens gör det möjligt för en applikation att få åtkomst till personlig information och göra ändringar i profiler, i princip ge tredjeparter "reservnyckeln" till din profilinformation, fotografier, vägg och meddelanden.
Det bekräftas inte om dessa tredje parter (främst annonsörer) visste om säkerhetshålet, men Facebook har sedan dess berättat för Symantec att bristen har åtgärdats. Tillgång som beviljats via dessa nycklar kunde till och med ha använts för att bryta användarnas personuppgifter, med bevis för att säkerhetsbristen kan vara från 2007 när Facebook-applikationer lanserades.
Symantec-anställd Nishant Doshi sa i en blogginlägg:
“Vi uppskattar att från och med april 2011, nära 100 000 applikationer möjliggjorde detta läckage. Vi uppskattar att hundratusentals applikationer under åren kan ha oavsiktligt läckt miljoner åtkomsttecken till tredje part.”
Inte ganska Sony
Åtkomstmärken beviljas när en användare installerar en applikation och ger tjänsten tillgång till hans eller hennes profilinformation. Vanligtvis går åtkomstnycklar ut över tiden, även om många applikationer begär en åtkomstnyckel för offline som inte kommer att ändras förrän en användare ställer in ett nytt lösenord.
Trots att Facebook använder solida OAUTH2.0-autentiseringsmetoder accepteras fortfarande ett antal äldre autentiseringsscheman och används i sin tur av tusentals applikationer. Det är dessa applikationer som använder föråldrade säkerhetsmetoder som kan ha oavsiktligt läckt information till tredje part.
Nishant förklarar:
”Programmet använder en omdirigering på klientsidan för att omdirigera användaren till den välbekanta dialogrutan för applikationstillstånd. Denna indirekta läcka kan inträffa om applikationen använder ett äldre Facebook-API och har följande avskrivna parametrar, "return_session = 1" och "session_version = 3 ″, som en del av deras omdirigeringskod."
![Facebook tystar ett massivt säkerhetshål, miljontals potentiellt påverkade [Nyheter] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Om dessa parametrar har använts (bilden ovan) skulle Facebook returnera en HTTP-begäran som innehåller åtkomsttecken inom URL: n. Som en del av remissschemat överförs denna URL i sin tur till tredjepartsannonsörer, komplett med åtkomsttoken (bild nedan).
![Facebook Quietly Patches Ett massivt säkerhetshål, miljontals potentiellt påverkade [Nyheter] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Användare som är oroliga för att deras åtkomstnycklar har varit bra och verkligen läckt bör ändra sina lösenord omedelbart för att automatiskt återställa token.
Det fanns inga nyheter om överträdelsen på den officiella Facebook-bloggen, men ändrade metoder för autentisering av applikationer har sedan dess har postats på utvecklarens blogg, som kräver att alla webbplatser och applikationer byter till OAUTH2.0.
Är du paranoid när det gäller säkerhet på Internet? Säg ditt åsikt om det aktuella läget på Facebook och online-säkerhet i allmänhet i kommentarerna!
Bildkredit: Symantec
Tim är frilansförfattare som bor i Melbourne, Australien. Du kan följa honom på Twitter.