Propust u Facebook API ugrožava bezbednost korisničkih podataka

Društvene mreže, 10.10.2011, 09:51 AM

Dvojica hakera, članova Blackhat Academy, Hatter i ErrProne, upozorili su na ozbiljne nedostatke u načinu na koji Facebook programerima aplikacija ograničava pristup podacima korisnicka ove društvene mreže.

Problem je u načinu na koji Facebook-ove aplikacije funkcionišu i to, prema tvrdnjama dvojice hakera, može dovesti do neovlašćene promene lozinki. Naime, Facebook aplikacije koriste poseban jezik nazvan FQL (Facebook Query Language) za izvlačenje i menjanje korisničkih podataka koji se nalaze u bazi podataka društvene mreže. Dokumentacija o FQL je javno dostupna svima te ovaj jezik svako može da nauči.

Dobijanje tako osetljivih podataka kao što su email adrese pomoću FQL zahteva API ključ, koji je jedinstven za svaku aplikaciju, ali mnogo drugih privatnih podataka korisnika ipak može biti izdvojeno iz baze podataka bez takvog ograničenja. Hatter i ErrProne su objavili i svoj “proof-of-concept” kod kojim to dokazuju.

API ključevi pružaju prevelika ovlašćenja od trenutka izdavanja, a do API ključa se dolazi relativno lako. Zlonamerni programer bi mogao da dobije i zloupotrebi API ključ već u fazi razvoja aplikacije. Šta više, aplikacije imaju pristup većem broju podataka u toj fazi, nego kasnije, kada se uđe u proces odobravanja aplikacije od strane Facebook-a, kada se aplikaciji ograničavaju prava pristupa podacima i dozvoljava se pristup samo onim podacima koji su neophodni za funkcionisanje aplikacije.

Šta više, napadači ne moraju ni da imaju API ključ za dobijanje podataka koji su im potrebni. Oni mogu da dođu do ključa legitimne aplikacije instaliranjem aplikacije na sopstvenom profilu i odgovaranjem na zahtev aplikacije za podacima izmenjenim korisničkim podacima. U zavisnosti od dozvola koje ima aplikacija, na ovaj način se može doći do podaka o drugim korisnicima ove iste aplikacije, čak i onim podacima koje korisnici dele samo sa svojim prijateljima.

Facebook-ov tim za bezbednost bi ovakvu zloupotrebu vrlo brzo otkrio, ali ne dovoljno brzo da spreči napadače da se domognu podataka koji su im potrebni pre nego što budu blokirani.

Blackhat Akademija obavestila je o ovom problemu Facebook pre više od dva meseca, ali pošto reakcije nije bilo, dvojica hakera su odlučila da svoje otkriće objave javno s obzirom da društvena mreža ne deli njihovu zabrinutost.

Portparol kompanije Facebook odbacio je ove tvrdnje rekavši da je ono što ovi hakeri nazivaju “FQL injection” ustvari način na koji je predviđeno da funkcioniše Facebook-ova API platforma. On je dodao da u kompaniji postoji veliki tim koji proverava rizičnost aplikacija s obzirom na broj korisnika aplikacije ili podatke koji se dele. Kada otkriju potencijalno lošu aplikaciju ili kada takva aplikacija bude prijavljena, tim reaguje brzo onemogućavajući aplikaciji pristup podacima.

Međutim, hakeri kažu da iz Facebook-a nisu razumeli da je FQL injection prisutan u samim aplikacijama. Oni ne osporavaju efikasnost kompanijskog tima za bezbednost, ali kažu da je takav pristup tima od pomoći samo kada je reč o crvima i malware-u koji se širi društvenom mrežom. Međutim, ako je određeni korisnik meta napada, takav pristup nije od pomoći jer haker samo treba da natera žrtvu da pokrene aplikaciju.

Facebook-ove aplikacije često su bile rizične po bezbednost i privatnost korisnika. Ranije ove godine je objavljeno otkriće da su brojne aplikacije, uključujući i one najpopularnije, delile a u nekim slučajevima se preko njih i trgovalo korisničkim identifikacionim podacima koji su prodavani oglašivačima koji su te podatke kasnije koristili za pravljenje profila korisnika za ciljano oglašavanje.

Prošle nedelje je Trend Micro objavio podatke o incidentu tokom kojeg su napadači preko zlonamernih oglasa u legitimnim aplikacijama distribuirali svoje drive-by download exploit-e. To samo pokazuje da Facebook ipak ne može garantovati bezbednost svake aplikacije koja je dostupna korisnicima.