Mainos
![Facebook korjaa hiljaisesti massiivisen turvallisuusreiän, miljoonia mahdollisesti vaikuttaneita [Uutiset] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook on vahvistanut Symantecin vaatimukset miljoonista vuotaneista ”käyttöoikeusmerkeistä”. Nämä tunnukset mahdollistavat sovelluksen pääsyn henkilökohtaisiin tietoihin ja profiilien muuttamiseen, lähinnä antamalla kolmansille osapuolille "varaavain" profiilitiedoillesi, valokuville, seinälle ja viestejä.
Ei voida vahvistaa, tietivätkö nämä kolmannet osapuolet (enimmäkseen mainostajia) tietoturva-aukosta, vaikka Facebook on sittemmin kertonut Symantecille, että virhe on korjattu. Näiden avainten kautta myönnettyä käyttöoikeutta olisi voitu jopa käyttää käyttäjien henkilötietojen kaivamiseen todisteena siitä, että tietoturvavirhe voi syntyä vuodesta 2007, kun Facebook-sovellukset käynnistettiin.
Symantecin työntekijä Nishant Doshi kertoi blogipostaus:
“Arvioimme, että huhtikuusta 2011 lähtien lähes 100 000 sovellusta mahdollisti tämän vuodon. Arvioimme, että vuosien mittaan sadat tuhannet sovellukset ovat mahdollisesti vuotaneet miljoonia käyttöoikeustunnuksia kolmansille osapuolille.”
Ei aivan Sony
Käyttöoikeustunnukset myönnetään, kun käyttäjä asentaa sovelluksen ja myöntää palvelulle pääsyn profiilitietoihinsa. Yleensä käyttöavaimet vanhenevat ajan myötä, vaikka monet sovellukset pyytävät offline-käyttöavainta, joka ei muutu, ennen kuin käyttäjä on asettanut uuden salasanan.
Huolimatta siitä, että Facebook käyttää kiinteitä OAUTH2.0-todennusmenetelmiä, joukko vanhempia todennusmenetelmiä hyväksytään ja tuhansia sovelluksia puolestaan käyttää niitä. Juuri nämä sovellukset, jotka käyttävät vanhentuneita tietoturvamenetelmiä, ovat saattaneet vuotia tietoja tahattomasti kolmansille osapuolille.
Nishant selittää:
”Sovellus käyttää asiakaspuolen uudelleenohjausta käyttäjän ohjaamiseksi tuttuun sovellusluvan valintaikkunaan. Tämä epäsuora vuoto voi tapahtua, jos sovellus käyttää vanhaa Facebook-sovellusliittymää ja sillä on seuraavat vanhentuneet parametrit, ”return_session = 1” ja ”session_version = 3” osana uudelleenohjauskoodiaan. ”
![Facebook korjaa hiljaa massiivisen turvallisuusreiän, miljoonat mahdollisesti vaikuttaneet [uutiset] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Jos näitä parametreja on käytetty (kuvassa yllä), Facebook palauttaa HTTP-pyynnön, joka sisältää käyttöoikeustunnukset URL-osoitteessa. Osana viittausjärjestelmää tämä URL siirretään puolestaan kolmansien osapuolien mainostajille, ja siihen sisältyy käyttöoikeustunnus (kuva alla).
![Facebook korjaa hiljaa massiivisen turvallisuusreiän, miljoonat mahdollisesti vaikuttaneet [uutiset] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Käyttäjien, jotka ovat huolissaan siitä, että niiden käyttöavaimet ovat olleet hyvin ja todella vuotaneet, tulisi vaihtaa salasanansa heti, jotta tunnus palautetaan automaattisesti.
Virallisessa Facebook-blogissa ei ollut uutisia rikkomuksesta, vaikka siitä lähtien on tehty tarkistettuja sovellusten todennusmenetelmiä on lähetetty kehittäjäblogissa, joka vaatii kaikkien sivustojen ja sovellusten vaihtamisen OAUTH2.0-versioon.
Oletko vainoharhainen Internet-tietoturvasta? Kerro mielipiteesi Facebookin ja online-tietoturvan nykytilasta yleensä!
Kuvahyvitys: Symantec
Tim on freelance-kirjailija, joka asuu Melbournessa, Australiassa. Voit seurata häntä Twitterissä.