Παραβιάζοντας το “access token” ενός χρήστη του Facebook

Το Facebook έχει υλοποιήσει μια σειρά μέτρων ασφάλειας για την προστασία του λογαριασμού των χρηστών, όπως για παράδειγμα όταν ένας χρήστης χρησιμοποιεί “access token”, μέσω εφαρμογής του Facebook (όπως το Candy Crush Saga, το Lexulous Word Game), που του παρέχει προσωρινή και ασφαλή πρόσβαση στο Facebook API.

Για να καταστεί αυτό δυνατό, οι χρήστες πρέπει να «επιτρέψει ή να αποδεχτούν» το αίτημα της εφαρμογής, έτσι ώστε μια εφαρμογή να έχει πρόσβαση στις πληροφορίες του λογαριασμού με τα απαιτούμενα δικαιώματα.

Το Access Token αποθηκεύει πληροφορίες σχετικά με τα δικαιώματα που έχουν χορηγηθεί, καθώς και πληροφορίες σχετικά με το πότε θα λήξει και ποια εφαρμογή το προκάλεσε. Οι εγκεκριμένες εφαρμογές του Facebook μπορούν να δημοσιεύουν ή να διαγράψουν περιεχόμενο στο λογαριασμό του χρήστη χρησιμοποιώντας τα στοιχεία πρόσβασης και όχι τον κωδικό πρόσβασης από το Facebook.

Τα Access Token είναι αρκετά ευαίσθητα, γιατί όποιος γνωρίζει το διακριτικό πρόσβασης ενός χρήστη μπορεί να έχει πρόσβαση στα δεδομένα του χρήστη και μπορεί να εκτελέσει οποιαδήποτε ενέργεια εκ μέρους του χρήστη, μέχρι το token να απενεργοποιηθεί.

Η ομάδα Ασφαλείας του Facebook έχει εντοπίσει μια ευπάθεια που κατατέθηκε από τον Ahmed Elsobky, έναν ειδικό ασφάλειας από την Αίγυπτο και αναφέρει ότι “εργαζόμαστε για τον περιορισμό της απειλής όταν πρόκειται για τις επίσημες εφαρμογές μας, δεδομένου ότι είναι προεγκριμένες. Για τις άλλες εφαρμογές, δυστυχώς, δεν μπορεί να εμποδιστεί πλήρως, καθώς αυτό θα σήμαινε ότι οποιαδήποτε ιστοσελίδα συνεργάζεται με το Facebook πρέπει να χρησιμοποιήσει HTTPS, το οποίο δεν είναι εφικτό προς το παρόν.” secnews.gr