黑客瞄准Facebook应用程序

2019-07-30 23:41:51 来源:网站建设(深圳网站建设)

斗牛牛黑客已将注意力转向Facebook的数百个独立应用程序。结果并不令人惊讶,但并没有说出一个好的故事:应用程序开发人员似乎对基本安全性一无所知,并且将私有用户信息置于风险之中。因此,恶意黑客能够访问和更改应用程序提供商管理的私有用户数据。就在此博客带给您Facebook应用程序系统中隐私问题的独家新闻几个月后,我们现在已经看到了后果Facebook决定在应用程序安全性和隐私方面做出贡献。 Facebook与大量第三方应用程序开发人员共享用户数据(未经用户同意),由于不存在安全和隐私保护,他们将数据保留给黑客。如果我们说我们没有看到这种情况,那么我们在监视状态就会撒谎。第三方开发者正如我在1月份的博客文章中提到的那样,Facebook允许应用程序开发人员访问大量敏感数据,所有这些都没有明确的用户同意。简而言之,每当用户安装Facebook应用程序时,该应用程序的开发人员就可以访问该用户与Facebook“朋友”的每个人以及该用户网络中的大多数人的数据。虽然Facebook明确表示当用户安装开发人员可以访问他们的数据的应用程序时,它根本不会做任何事情来警告用户他们的朋友安装app时会发生相同的数据共享.Facebook虽然涵盖了其法律基础,因为其服务条款明确规定公司不对开发人员对用户数据所做的任何事情负责。它进一步指出,该公司根本没有做任何事情来验证开发人员是否正在做任何事情以保护用户数据,或者他们没有超出处理应用程序请求所需的时间来存储数据(严格禁止)。服务条款状态:应用程序中的缺陷,处于危险中的用户根据最近的一篇文章2600,黑客季刊,许多流行的Facebook应用程序容易受到微不足道的攻击,允许一个邪恶的人设置和读取与该应用程序相关的数据。 2600文章使用应用程序Moods,Free Gifts和Super 拼三张Wall来证明其重点。很简单,开发人员在处理Facebook应用程序发出的查询时,在自己的服务器上没有任何身份验证机制。相反,开发人员依赖Facebook应用程序本身遵守规则。一个邪恶的黑客只需要拦截应用程序发出的Web请求,并将他/她自己的Facebook ID替换为潜在的受害者。虽然2600文章不在线,但消费者博客的读者在线总结了它:在所有其中三个应用程序,用户A可以通过拦截表单并在传输之前修改uid(Facebook用户ID)来非常轻松地修改用户B的数据。此外,对于某些应用程序,用户A可以访问任何用户B的存储的应用程序数据(例如历史记录等),无论他们是否是朋友。这些应用程序盲目地信任可以轻易被篡改的表格数据,这显然是一个坏主意。 Moods应用程序允许未经授权的用户查看非朋友的情绪历史,并且使用该应用程序的任何人都可以在提交之前拦截他们自己的情绪变化形式,更改表格中的uid,并改变别人的心情。超级墙有一个类似的漏洞,允许有人以类似的方式截取表单,并通过改变uid的来往,从任何人(甚至是非朋友)欺骗消息。这不是火箭科学,而是更接近计算机安全101.微软的Larry Osterman在他自己的博客上撰写了关于这些缺陷的文章,描述了他教育微软程序员的努力:周三,我与弗吉尼亚大学研究员Adrienne Felt进行了交谈,他的报告首先强调了过度和危险的数据共享。发生在Facebook及其应用程序开发人员之间当被问及她对主要Facebook应用程序缺乏身份验证和安全性的看法时,Adrienne告诉我,“遗憾的是我并不感到惊讶”因为“应用程序是由几乎不了解编码的人编写的。”对于那些有兴趣了解更多内容的人,有人花时间记录了攻击的截屏视频。所需要的只是Facebook帐户,Firefox浏览器和Firebug浏览器插件。斗地主
PREV   NEXT