Alcune applicazioni di terze parti presenti su facebook hanno accidentalmente avuto accesso totale ai dati di milioni di account degli utenti di Facebook tra cui le informazioni del profilo, fotografie, chat, e hanno avuto anche la possibilità di inviare messaggi e informazioni. Le applicazioni create dalle terze parti avrebbero potuto accedere a questi dati tuttavia attualmente non si sa quanti dati siano stati rubati nè chi abbia rubato questi dati. Symantec ha già segnalato questo problema a Facebook, che ha già adottato le contromisure per eliminare questo problema. Sembra che siano stati già trafugati dati a 100 milioni di utenti, ma sono solo rumurs in realtà non è possibile saperlo. Il danno dipende solo su che tipo di dati ha inserito l’utente solitamente io su facebook non ci metto nulla di troppo importante! Questa falla è presente dal 2007 ed è impossibile che se ne siano accorti solo ora e il dubbio che qualcuno abbia chiuso un occhio rimane! 😀

La soluzione?Cambiate la vostra password

La soluzione per proteggersi da questo problema è quella di cambiare la vostra password di facebook in questo modo cambierete il token di accesso e non potranno più ad accedere ai vostri dati. Tuttavia attenzione quando installate una nuova applicazione su facebook perchè se non utilizza OAUTH2.0 potrebbe soffrire di questa pericolosa vulnerabilità e permettere a terze parti di accedere ai vostri dati personali e a quelli dei vostri amici. Se volete sapere come avveniva il furto delle vostre chiavi di accesso continuate pure a leggere.

Spiegazione Tecnica

In pratica Symantec (se la symantec è riuscita a trovarlo significa che già lo sapevano praticamente tutti) ha scoperto che in alcuni casi, le applicazioni Facebook IFRAME rilevavano un token di accesso a terzi come inserzionisti o piattaforme analitiche.In pratica con quel token possono accedere ai vostri dati anche quando siete offline e farne ciò che vogliono.
Il token di accesso è una chiave di riserva concessa da voi per l’applicazione Facebook. Le applicazioni possono utilizzare questa chiave per eseguire determinate azioni per conto dell’utente o accedere al profilo dell’utente.Ogni token è associato a una serie di autorizzazioni e permessi, come quello di leggere il vostro muro, accedere ai profili dei vostri amici, scrivere sul vostro muro, etc…
Quando installate un applicazione, vengono richiesti all’utente il permesso di fare queste azioni. Una volta dati i permessi l’applicazione poteva avere accesso a questo token.Usando questo token di accesso, l’applicazione può ora accedere alle informazioni dell’utente o eseguire operazioni per conto dell’utente. Per impostazione predefinita, i token di accesso scadono dopo poco tempo, tuttavia l’applicazione può richiedere un token di accesso offline che permettono loro di utilizzare questi token anche quando non si è loggato e l’unico modo per impedirgli l’accesso è quello di cambiare la password!

Per impostazione predefinita solamente ultimamente Facebook utilizza ora OAUTH2.0 per l’autenticazione che non ha questo problema. Tuttavia, i sistemi di autenticazione più vecchi sono ancora supportati da Facebook e ancora oggi sono utilizzati da centinaia di migliaia di applicazioni. Quando un
un utente un’appicazione di Facebook, questa chiede una quantità limitata di
informazioni sull’utente, come il loro paese, locale e fascia di età. Utilizzando queste informazioni, l’applicazione possibile personalizzare la pagina.

La richiesta deve quindi reindirizzare l’utente a una finestra di
dialogo con i permessi, come si vede qui.

L’applicazione utilizza un reindirizzamento sul lato client per visualizzare all’utente la finestra di dialogo sui permessi dell’applicazione. La perdita del token potrebbe accadere se l’applicazione utilizza una Facebook API legacy con i seguenti parametri ormai deprecati: “return_session = 1” e “session_version = 3”, come parte del loro codice di reindirizzamento:

Se questi parametri vengono utilizzati, Facebook torna successivamente il token di accesso, inviando una richiesta HTTP che contiene il token di accesso del URL per l’host di applicazione.

L’applicazione Facebook visualizza inavvertitamente il token di accesso a terze parti ed è una vulnerabilità potenzialmente pericolosa.Questo indirizzo url e il token di accesso, viene passato agli inserzionisti di terze parti come parte del campo referrer delle richieste HTTP.

Conclusioni

Le conseguenze di questa falla di sicurezza sono abbastanza gravi. Facebook è stato avvisato di questo problema e ha confermato le perdite di token degli utenti. Non si sa chi abbia usato questo sistema ma i token potrebbero essere trapelati già dal 2007 anno in cui furono introdotte le applicazioni. Questi token potrebbero essere ancora disponibili in file di log oppure ancora oggi attivamente utilizzati dagli inserzionisti pubblicitari su Facebook.La soluzione per gli utenti di Facebook è quella di cambiare la password per invalidare token di accesso rubato. Nishant Doshi e Candid Wueest di Symantec sono quelli che hanno reso pubblica questa vulnerabilità.
Facebook ha recentemente annunciato un aggiornamento per il loro Development Roadmap. I dettagli di questo aggiornamento si possono trovare qui: https://developers.facebook.com/blog/post/497

Traduzione e spunti

Facebook applications accidentally leaking access third parties