L’abuso delle API di Facebook può esporre i dati privati degli utenti

L

Facebook sta ignorando una grave lacuna nel modo in cui limita agli sviluppatori di applicazioni l’accesso alle informazioni degli utenti. Un gruppo di hacker dice che il modo in cui funzionano le API di Facebook  potrebbe portare anche a modifiche delle password non autorizzate. Allarme reale o accuse infondate lanciate dalla Blackhat Academy?

logo insecurityLe applicazioni di Facebook utilizzano un linguaggio speciale denominato FQL per estrarre e modificare le informazioni utente memorizzate nel database del social network. Questo linguaggio proprietario è ben documentato e le informazioni sono pubbliche. L’interrogazione di dati sensibili degli utenti come ad esempio gli indirizzi di posta elettronica attraverso FQL richiede una chiave. Secondo gli Hacker,le  API Key di Facebook sono “buggate” e un programmatore malintenzionato potrebbe ottenere e abusare di una API Key, mentre l’applicazione associata è ancora in fase di sviluppo.

Tuttavia, gli aggressori non hanno nemmeno bisogno di una API per estrarre i dati. Possono sfruttare la key di un’applicazione legittima da installare sul proprio profilo e effettuare delle richieste di informazioni con un ID utente alterato. A seconda delle autorizzazioni dell’applicazione, questa tecnica può essere utilizzata per raccogliere informazioni da altri utenti con l’applicazione installata, anche se questi utenti condividono solo alcune informazioni con gli amici.

La notizia risale a due mesi fa ed è stata pubblicata qualche giorno fa, dicono, dopo il totale disinteresse di Facebook che non condivide le loro preoccupazioni. Un portavoce di Facebook respinge le accuse della Blackhat Academy dicendo che il loro lavoro “si limita” ad un ‘iniezione FQL’  e che dispongono di un team dedicato e affidabile che analizza le applicazioni che accedono alle loro API.  “Quando un’applicazione è potenzialmente pericolosa siamo in grado di agire rapidamente per eliminarla prima che acceda ai dati utente.

Gli hacker non sono d’accordo, dicono che Facebook probabilmente non ha capito la portata dell’attacco.

La piattaforma per le applicazioni di Facebook è stata a lungo una fonte di rischi per la privacy e per la sicurezza. All’inizio di quest’anno, si è scoperto che molte applicazioni, anche quelle scaricate per la maggiore, condividevano e in alcuni casi rivendevano gli ID utente agli inserzionisti permettendo loro di costruire profili utilizzati per la pubblicità comportamentale. All’inizio di questa settimana Trend Micro ha registrato un incidente in cui gli aggressori sono riusciti a servire un “drive-by download” attraverso l’exploit di annunci visualizzati in un’applicazione legittima.

Chi ha ragione, Facebook oppure gli hacker di Blackhat Academy ?

Per approfondire: Blackhat Academy- Facebook

Aggiungi un commento

Categorie

Seguici su