Hackeri sa zamerali na aplikácie Facebooku

Facebook a celkovo sociálne siete sú označované odborníkmi za veľmi rizikové miesta, kvôli obrovskému množstvu užívateľov navštevujúcich tieto weby, ktoré o nich ukladajú najrôznejšie citlivé informácie. Viac ako dva roky sa každý deň objavuje niekoľko článok o potencionálnej nebezpečnosti sociálnych sietí, ako konceptu.

Po celý čas sa rovnako objavovali prieniky do súkromia užívateľov, o ktorých sme vás poctivo informovali. Posledné týždne sa však útoky na sociálne siete stupňujú a zdá sa, že predpovedaný trend naberá skutočné rozmery. Všetky tieto prieniky však majú niečo spoločné. Sú spôsobené chybami, alebo podceňovaním bezpečnosti, samotných autorov projektu. Hackeri zo všetkých skupín (hat) sa začali zameriavať na najväčšie slabiny sociálnych sietí a to tzv. 3rd aplikácie, teda aplikácie vytvorené tretími stranami, nezávislými programátormi. Tí, ako sa zdá, nemajú ani tie najmenšie znalosti o bezpečnosti. Facebook je rajom takýchto aplikácií a ich počet presahuje desaťtisíce.

Ako sme vás informovali v článku "Facebook aplikácie už na akomkoľvek webe", tím vývojárov Facebooku sa rozhodol dať ostatným tvorcom väčší prístup k jadru siete a taktiež väčšie právomoci v spracovaní citlivých údajov jednotlivých užívateľov. Takto dopomohli vzniku mnohých aplikácií, ktoré užívateľom spríjemňujú pobyt na webe. Určitým problémom je však fakt, že tretie strany tvorcov získavajú prístup k informáciám zdieľaným medzi užívateľmi používajúcimi ich aplikácie, rovnako aj informácie o ich priateľoch, ktorí nie vždy o tomto "zásahu" do súkromia vedia napriek tomu, že Facebook túto skutočnosť ozrejmuje v podmienkach pre používanie. Mnoho výskumníkov sa zameralo na jednotlivé už povolené aplikácie a prechádzajú ich funkčnosť a aktuálne zabezpečenie.

Podľa magazínu 2600 je obrovské množstvo aplikácií náchylných na triviálne útoky, na ktoré užívateľ nepotrebuje hlbokosiahle vedomosti o bezpečnosti a fungovaní webu (rfc 2616). Ako príklad uvádza článok tri aplikácie, Moods, Free Gifts a Super Wall. Kvôli nedostatočnej autentifikácii užívateľov je možné zameniť svoj unikátny identifikátor za identifikátor niekoho iného a tým mu zmeniť nastavenia aplikácie.

Postup ako na to (môžete vidieť aj v doprovodnom videu na konci článku).

Vo všetkých troch aplikáciach, užívateľ A môže veľmi jednoducho zmeniť nastavenia aplikácie užívateľa B jednoduchým zamenením UID (unikátny identifikátor) pred odoslaním údajov formulára. Pri niektorých ďalších aplikáciach môže užívateľ A získať prístup k citlivým informáciám užívateľa B (história, atď.), i keď nie sú previazaný ako priatelia (vzťah v rámci Facebooku). Mnoho aplikácií slepo dôveruje dátam posielaným z formuláru, čo je veľmi veľká chyba.

Aplikácia The Moods (nálady) umožňuje neautorizovanému užívateľovi vidieť históriu nálad aj ľudí, ktorí nie sú jeho priatelia, za pomoci rozšírenia pre prehliadač Firefox, FireBug. Každý s týmto rozšírením môže pozmeniť náladu užívateľovi B a to opäť pozmenením UID ešte pred odoslaním formulára.

Aplikácia Super Wall obsahuje podobnú zraniteľnosť, ktorá umožňuje užívateľovi A získať záznam komunikácie medzi akýmikoľvek dvoma užívateľmi (napríklad B a C, aj napriek tomu, že nie sú priatelia) jednoduchou zmenou UID odosielateľa a prijímateľa.

Ak patríte medzi programátorov, pravdepodobne len krútite hlavou. Chyby sú neskutočne triviálne a môžu spôsobiť obrovské škody, ak padnú do rúk znudeným teenagerom.

Tieto zistenia nie sú nijakou novinkou, no opäť potvrdzujú domnienky odborníkov o nebezpečnosti sociálnych sietí. Je len otázkou času, kým sa začnú masívne zneužívať na získavanie finančných prostriedkov využívaním sociálneho inžinierstva a možno len jednoduchých chýb neznalých programátorov.

Ďalšie informácie môžete získať na blogu The Consumerist.