一个名为“NameTests”的第三方应用程序最近被爆存在重大漏洞

iso60001  1763天前

一个名为“NameTests”的第三方应用程序最近被爆存在重大漏洞,1.2亿用户的信息都有可能被泄露。

44.jpg

NameTests测试页面

只要用户注册Nametests.com网站中的任何一款智力竞赛应用,他们在Facebook上的个人数据都会被泄漏。这些数据包括姓名、出生日期、婚姻状态、好友名单、图片等等。即便是用户删除了这些应用,这些数据也依然会被泄漏。

戏剧性的是,在4月底,Facebook加强数据管理,通过自己的“数据滥用漏洞赏金计划”提醒测试类应用(quiz apps)有泄露数据的风险,但过了一个月之后,这些应用仍好好地在Facebook平台上。

直到漏洞赏金猎人Inti De Ceukelaire发现NameTests的问题。

在删除应用后,仍然会显示用户的身份

Nametests是一个智力测试应用,能够根据测试来推断用户更像哪个人物。在加载测试时,网站会提取个人信息并将其显示在网页上。以下是赏金猎人De Ceukelaire的个人信息来源:

http://nametests.com/appconfig_user

理论上,每个网站都可能要求提供这些数据。请注意,这些数据还包括一个“token”,用于访问用户授权应用程序访问的所有数据,例如照片、帖子和朋友。

让De Ceukelaire震惊的是,这些数据已经向任何请求它的第三方公开提供。

在正常情况下,其他网站将无法访问此信息,Web浏览器有适当的机制来防止这种情况发生。然而,在这种情况下,数据被封装在一个叫ja vasc ript的东西里,这是此规则的一个例外。

javasc ript的基本原则之一是它可以与其他网站共享。由于NameTests在ja vasc ript文件中显示用户的个人数据,因此几乎任何网站都可以在他们请求时访问它。

NameTests想知道你是谁,所以访问nametests.com/appconfig_user,但任何其他网站也可以这样做。

为了验证它实际上很容易窃取别人的信息,De Ceukelaire建立了一个网站,连接到NameTests并获取关于它的访问者的一些信息。NameTests还会提供一个称为访问token的密钥,根据授予的权限,该密钥可用于访问访问者的帖子、照片和朋友。只需要一次访问De Ceukelaire的网站就可以访问一个人的信息长达两个月。

即使在删除应用后,NameTests仍然会显示用户的身份。为了防止这种情况发生,用户必须手动删除设备上的Cookie,因为NameTests.com不提供注销功能。

一般用户不想让任何网站知道自己是谁,更不用说窃取用户的信息或照片。如果滥用此漏洞,广告客户可能会根据Facebook帖子和朋友定位(政治)广告。更露骨的网站可能会利用这个漏洞敲诈访问者,威胁要把用户秘密搜索历史泄露给他的朋友。

1.2亿用户面临数据泄露风险

据Facebook称,NameTests拥有超过1.2亿活跃的月度用户。

为了更好地掌握这些测验的覆盖面,De Ceukelaire列出了他们的NameTest本地化Facebook页面列表,其中有超过一百万个喜欢的页面,这是相当可怕的数字。

4月22日,De Ceukelaire第一次向Facebook报告了这一情况。4月30日,他收到了Facebook的初步回复,对方表示他们正在调查(looking into)。

De Ceukelaire在5月14日又发送了一封后续电子邮件,询问Facebook是否已经联系了应用程序开发人员。

直到5月22日,距离De Ceukelaire第一次向Facebook报告问题后的一个月,Facebook回复说可能需要三到六个月的时间来调查这个问题(即他们最初的自动回复中提到的同一时间段)。而NameTests的测验仍在进行中。

一个月后的6月25日,De Ceukelaire说,他注意到NameTests已经改变了它们处理数据的方式,从而关闭了它们暴露给第三方的访问权限。第二天(6月26日),De Ceukelaire与NameTest的数字保护官员联系,回答了有关Facebook漏洞和披露过程的一些问题。

第三天(6月27日),Facebook也证实了这一书面漏洞,并承认:“这可能会让攻击者确定Facebook平台登录用户的详细信息。”

Facebook还告诉他,它们已经和NameTests确认了,这个问题已经解决。它的应用程序仍然可以在Facebook的平台上使用——这表明Facebook没有发现导致它暂停其他第三方应用程序的可疑活动。(至少,假设它进行了调查。)

最后,根据数据滥用漏洞赏金计划(Data Abuse Bounty Program)的条款,Facebook向一家慈善机构支付了4000x2美元的赏金——这也是De Ceukelaire的要求。

审查应用程序是Facebook的品牌公关行为?没有执行力的规则不值得写在纸上

今年,Facebook在“剑桥分析门”之后对历史应用进行审查,扎克伯格说,公司将“调查所有在2014年我们改变平台以大幅减少数据访问之前能够获得大量信息的程序,我们将全面地审查所有应用和可疑的活动。”后来Facebook又启动了数据滥用漏洞赏金计划(Data Abuse Bounty Program)。

在审查期间,Facebook已经暂停了约200个应用程序。直到现在审查仍在进行中,目前也没有关于何时结束审查过程(以及相关的调查)的正式时间表。

在4月底,通过自己的“数据滥用漏洞赏金计划”,Facebook已经被提醒测试类应用(quiz apps)有泄露数据的风险,但过了一个月之后,这些应用仍好好地在Facebook平台上。又过了一个月,这些漏洞才被修复。

TechCrunch认为,你不得不怀疑Facebook的审查是否有用,还是仅是Facebook的一种品牌公关行为。

潜在的问题是,Facebook是否对其平台上运行的应用程序真的进行检查。如果没有任何积极的过程来实施条款与细则(T&C),那么拥有条款与细则就没什么用。没有执行力的规则不值得写在纸上。

历史证据表明,Facebook并没有积极执行其开发人员条款与细则——尽管它现在声称正在“定平台”,但隐私丑闻太多。

剑桥分析丑闻中的测验应用程序开发人员Aleksandr Kogan曾收集并销售/倒手Facebook的用户数据给第三方,他指责Facebook基本上没有相关政策。Aleksandr Kogan认为,Facebook要对其平台上发生的大规模数据滥用负责——而到目前为止,也只有一部分被曝光。



◆来源:电子说

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论