Examen Varias extensiones del navegador Chrome utilizan un token de sesión para Facebook de Meta que otorga camino a los datos de las redes sociales de los usuarios registrados de una forma que viola las políticas de la compañía y deja a los usuarios expuestos a posibles violaciones de privacidad.
El investigador de seguridad Zach Edwards señaló la semana pasada que Brave había obstruido una extensión de Chrome indicación LOC correcto a la preocupación de que expuso los datos de Facebook del usufructuario a un servidor de terceros sin ningún aviso o solicitud de permiso.
LOC utilizó un token de camino que se puede obtener fácilmente desde la aplicación web Creator Studio de Facebook. A posteriori de extraer este token, una condena de texto compuesta por 192 cultura y números, de la aplicación, la extensión del navegador puede usarlo con API gráfica de Facebook sin ser una aplicación de Facebook de terceros aprobada para obtener datos sobre el usufructuario que inició sesión.
Lo hace, dice su desarrollador, para permitir a los usuarios automatizar el procesamiento de sus datos de Facebook.
El problema es que se podría forzar del camino a datos de este tipo, como ha ocurrido en el pasado. Una extensión que utilice este token podría, por ejemplo, copiar los datos del usufructuario y enviarlos a un servidor remoto sin el conocimiento o consentimiento del usufructuario. O podría juntar el nombre y el correo electrónico del usufructuario y usarlos para rastrear a la persona en los sitios web.
Así es como podría ocurrir un robo de datos teórico:
- Creas y lanzas una extensión de Chrome aparentemente inocente que puede obtener tokens de camino del Creator Studio de Facebook.
- Cada vez que una víctima instala su extensión de Chrome e inicia sesión en Facebook, la extensión obtiene uno de estos tokens en nombre de la víctima para aceptar silenciosamente a sus datos de Facebook a través de Graph API de la red social.
- Luego, la extensión extrae los datos de la víctima a un servidor remoto.
La capacidad de obtener un token de camino de Creator Studio proporciona una ruta para que las extensiones recopilen de forma silenciosa y cibernética los datos de perfil de los usuarios que iniciaron sesión sin permiso y sin tener que, por ejemplo, raspar páginas.
El token de camino se obtiene obteniendo esta página y extrayendo accessToken de la fuente
En septiembre de 2018, Facebook reconoció un problema de seguridad que afectaba a casi 50 millones de cuentas, que atribuyó a malhechores que robaron tokens de camino presentados por su función «Ver como» para permitir que las personas vean cómo ven sus perfiles los demás.
«Esto les permitió robar tokens de camino a Facebook que luego podrían usar para apoderarse de las cuentas de las personas». explicado Guy Rosen, quien era vicepresidente de encargo de productos en ese momento y ahora es vicepresidente de integridad en Meta. «Los tokens de camino son el equivalente a las claves digitales que mantienen a las personas conectadas a Facebook para que no tengan que retornar a ingresar su contraseña cada vez que usan la aplicación».
El token de camino acondicionado a través de Creator Studio no presenta la misma amenaza de apropiación de la cuenta que el token «Ver como».
Un portavoz de Meta nos dijo por correo electrónico que este tipo de tokens tienen usos legítimos y no brindan camino a datos más allá de lo que está acondicionado para el titular de una cuenta individual. Y Meta dijo que no hay indicios de que la extensión LOC haya estado extrayendo información de los dispositivos de las personas. No obstante, el token proporciona camino programático a datos sobre usuarios de Facebook que iniciaron sesión sin autorización o consentimiento.
Fue este peligro lo que llevó al fabricante de navegadores Brave a aislar la extensión LOC, hasta que el desarrollador Loc Mai se puso en contacto con el equipo de ampliación de Brave. Un portavoz de Brave dijo que la compañía está trabajando con el programador para realizar algunos cambios, probablemente una notificación o solicitud de permiso, para que la extensión sea aceptable desde el punto de perspicacia de la privacidad y la seguridad.
Y es un peligro que debería preocupar a Meta y sus filiales dada la liquidación 2019 de una investigación de la FTC que siguió a la Escándalo de Cambridge Analytica. Como parte de ese acuerdo, Facebook se comprometió a localizar el camino de terceros a los datos de los usuarios.
cambridge analitica adquirido la información del perfil de Facebook de las personas a través de una aplicación de prueba de terceros que se conectaba a la red social. Hay paralelismos aquí: esperas que una aplicación de prueba no comparta la información de tu perfil de Facebook con otros, y esperas que una extensión de Chrome todavía lo evite.
Aunque Facebook se comprometió a implementar medidas para evitar otro fiasco de Cambridge Analytica, los tokens de camino de Creators Studio en manos de una extensión de Chrome maliciosa y ampliamente instalada podrían admitir a que se repita la historia.
«Bajo el nuevo entorno requerido por la FTC, seremos responsables y transparentes sobre la reparación de productos antiguos que no funcionan como deberían y la creación de nuevos productos con un standard más parada», Facebook insistió cuando prometió fregar el camino a los datos hace casi tres abriles.
Estamos lidiando con eso, más o menos
En un correo electrónico a El registroun portavoz de Meta dijo que la empresa se ocupa de estas extensiones, pero que requiere la ayuda de Google.
«Los tokens de camino que solicitan estas extensiones ayudan a los creadores y a otros a usar nuestras herramientas y productos, pero no son capaces de aceptar a datos más allá de lo que las personas pueden hacer con su propia cuenta o lo que ya proporciona la cookie de sesión en su navegador», dijo el portavoz de Meta. en un correo electrónico.
«Cedido que la instalación de extensiones de navegador puede conllevar riesgos, regularmente informamos a los fabricantes de navegadores como Google sobre las que violan nuestras políticas para que las eliminen, como hicimos en este caso. Este trabajo es administrado por nuestro equipo dedicado de uso indebido de datos externos que se enfoca en detectar, aislar y disuadir el uso automatizado indebido de nuestros servicios”.
Parte del problema es que las extensiones de Chrome de Google son fáciles de trastornar o usar mal y Meta no tiene una forma directa de evitar la publicación de extensiones que abusan de su API Graph, encima de informar el problema a Google.
El portavoz de Meta dijo que el token de Creator Studio está constreñido a la sesión del usufructuario, lo que significa que caducará si el usufructuario de la extensión cierra la sesión de Facebook. Y si el token no se ha transmitido al servidor del desarrollador de la extensión, como parece ser el caso con la extensión LOC, la desinstalación de la extensión todavía hará que el token caduque.
El token, se nos dice, no es el problema. Más admisiblemente, las extensiones del navegador permiten a los usuarios automatizar las actividades de Facebook. El portavoz de Meta aconsejó a las personas que sean cautelosas al instalar extensiones y dijo que los fabricantes de navegadores como Google deben estar atentos y eliminar las extensiones inseguras de sus tiendas web.
Edwards dijo El registro que este es un problema extraño porque si se puede convencer a algún para que instale una de estas extensiones, se podría forzar fácilmente de esa confianza. Facebook, dijo, no proporciona ningún aviso a los usuarios en función de los permisos de datos que han otorgado, lo que difiere de los avisos de notificación y autorización que siguen a la interacción programática permitida con la red social.
Hasta el momento, no se ha tomado ninguna medida y, según Edwards, hay varias extensiones de Chrome al menos que cooptan de forma similar el token de camino de Creator Studio para permitir que los datos se obtengan a través de la API Graph de Facebook.
Seguridad J2TEAM (200K usuarios), MonokaiHerramientas (10K usuarios), FBVN (80.000 usuarios), y Herramienta KB2A (50.000 usuarios) todos utilizan este token, según Edwards. Explicó que todos estos parecen sobrevenir saledizo de un grupo de facebook frecuentado por desarrolladores de acento vietnamita que caza fichas de Facebookaparentemente para proporcionar servicios que la red social no ofrece.
El registro no tiene motivos para creer que estos desarrolladores están haciendo un mal uso de los datos de los usuarios. De hecho, J2TEAM Security pretende aislar las URL de phishing de Facebook. Es completamente posible usar el token de camino de Facebook para promover la seguridad en oportunidad de dañarla.
Pero el hecho de que este peña de desarrolladores pueda aceptar a los datos de los usuarios de Facebook a través de Graph API de forma que viole las reglas de Facebook, y lo ha estado haciendo al menos desde 2017, muestra que hay una brecha entre tener reglas y hacerlas cumplir.
Meta insiste en que está lidiando con estas extensiones y señaló a su Esfuerzos de uso indebido de datos externos. El portavoz del cíclope de Internet reiteró que la compañía toma medidas regularmente para hacer cumplir sus políticas y señaló que Facebook envió previamente una carta de cese y abandono al desarrollador de la extensión LOC y lo prohibió en la plataforma, aunque eso no hizo carencia para deshabilitar la extensión.
Se nos dice que Meta ha realizado otra solicitud a Google para eliminar la extensión de Chrome Web Store y está analizando las otras extensiones mencionadas anteriormente.
Aun así, es probable que el alcaldada de este tipo de tokens continúe porque Meta dice que tienen casos de uso legítimos, como permitir el camino a su aplicación Creator Studio y funciones de soporte como Publicaciones recientes en la pestaña Inicio del creador. ®