Facebook 应用程序发现向第三方提供用户帐户

发现真正不应该让任何人昨天被赛门铁克昨天令人惊讶的发现–事实证明,由于在现在默认OAUTH 2.0之前使用的身份验证方案中的缺陷,Facebook Iframe应用程序一直泄露访问令牌到第三方,例如广告商或分析平台。

这意味着这些第三方可以访问用户’账户和所有这些都在–即使隐私设置应该应该’t have allowed it –他们还有能力发布用户的消息’ behalf.

赛门铁克 指出 这些第三方可能不知道他们获得该信息的能力,而且很难安慰。

“访问令牌就像“spare keys’您授予您到Facebook应用程序。应用程序可以使用这些令牌或键代表用户执行某些操作或访问用户’S档案。每个令牌或“spare key’与选择的一组权限相关联,如读取您的墙,访问您的朋友’S的档案,发布到您的墙壁等,”研究人员解释说。“默认情况下,大多数访问令牌在短时间后到期,但应用程序可以请求脱机访问令牌,以便它们在更改密码之前,即使您的密码也可以使用这些令牌’t logged in.”

他们估计多年来–从2007年开始,首次介绍Facebook应用程序时–数百万访问令牌已被泄露,他们认为有可能在第三方服务器的日志文件中提供大量这些令牌或者仍然被广告商使用。幸运的是,对于用户来说,有一种简单的方法来使这些令牌无效:更改Facebook密码。

根据赛门铁克的说法,Facebook已经解决了缺陷,但事实上,像这些似乎以定期间隔似乎弹出的漏洞让我相信Facebook没有积极寻找它们–事实上,他们在那里,因为它适合Facebook’s agenda.

另一方面,Facebook是一个非常复杂的系统,这样的东西是不可避免的–特别是在处理遗留技术时。部分解决方案是公司’s 公告 它将推动应用程序开发人员将应用程序从旧的Facebook身份验证系统迁移到OAuth 2.0。

分享这个