A Brave böngésző a héten bejelentette, hogy blokkolja az L.O.C. nevű népszerű Chrome bővítmény telepítését, mert potenciális veszélynek teszi ki a felhasználók Facebook adatait.
A Brave vizsgálata mutatott rá a sebezhetőségre
Ha egy felhasználó már bejelentkezett a Facebookra, a bővítmény telepítése automatikusan hozzáférést biztosít a felhasználó Facebook adataihoz egy harmadik fél számára. Ez a lehangoló kijelentés áll Francois Marier, a Brave biztonsági mérnökének a GitHub Issues bejegyzésében. A bővítmény által használt API követeli ugyanis meg, hogy a Facebook engedélykérést jelenítsen meg a felhasználónak az alkalmazás hozzáférési tokenjének kiadása előtt.
A L.O.C automatizált Facebook eszközök gyűjtőhelye. Többek között lehetővé teszik a felhasználóknak, hogy letöltsék Facebook-beszélgetéseiket, módosítsák a bejegyzéseik adatvédelmi beállításait (sicc!), barátokat találjanak és távolítsanak el. A 700 ezer felhasználóval rendelkező bővítmény fejlesztője, Loc Mai azonban úgy nyilatkozott, hogy a bővítménye nem gyűjt információkat – ahogyan a bővítmény adatvédelmi szabályzata ezt ki is mondja.
„A bővítmény csak akkor gyűjti a felhasználó adatait, ha a felhasználó Premium-felhasználóvá válik, és az egyetlen dolog, amit gyűjt, az az UID – amely minden egyes személynél egyedi” – magyarázta Mai.
Mai elmondta, hogy a bővítmény helyileg tárolja a tokent. Ez biztonsági kockázatot jelent, de nem utal szabálytalanságra. Egy rosszindulatú fejlesztő azonban begyűjtheti a Facebook adatait ugyanezzel a hozzáférési módszerrel. A Facebook ugyanis csak egy egyszerű szöveges tokent tesz közzé, amely aztán mindenhez hozzáférést ad.
Mindenható Facebook token
A Facebook Graph API-jának működéséhez felhasználói hozzáférési token szükséges. A token megszerzéséhez – hogy a bővítmény felhasználói automatizálhassák saját Facebook-adataik feldolgozását, például üzeneteik letöltését – a bővítmény GET kérést küld a Facebook Alkotói Stúdiójának. A kérelem egy hozzáférési tokent ad vissza a bővítményhez a bejelentkezett Facebook-felhasználó számára, lehetővé téve a további programozott interakciókat a Facebook adatokkal.
A Brave böngésző biztonságért felelős csapata kifejtette 2018-ban a Facebook már szembesült egy hasonló botránnyal, amikor 50 millió Facebook fiókot semmisítettek meg egy leleplezés miatt. A Facebook azonban úgy tűnik, hogy ezt a tokenen keresztüli adatkiadást szolgáltatásnak tekinti, nem hibának.
Nem hiba, hanem szolgáltatás
Mai ráadásul már 2019. áprilisában jelentette a problémát a Facebooknak, ahonnan azt a választ kapta az általa leírt probléma valójában csak szándékolt funkcionalitás, ezért nem volt jogosult jutalomra sem. A fejlesztő elmondta, hogy időközben kitiltották a Facebookról, és hozzátette, a cég felvette vele a kapcsolatot, hogy megvádolja a felhasználói adatok beleegyezése nélküli továbbításával vagy megosztásával.
Úgy tűnik, hogy a Facebook nem tanulta meg a leckét 2018-ból. Továbbra is minden felhasználó számára elérhetővé tesznek egy egyszerű szöveges mindenható tokent.
A történet közzététele után a Meta szóvivője e-mailben jelezte:
„Megvizsgáljuk ezeket az állításokat, és megtesszük a megfelelő lépéseket irányelveink betartása és az emberek adatainak védelme érdekében.”
A Brave böngésző szóvivője elmondta, hogy a fejlesztővel jelenleg együtt dolgoznak a bővítmény néhány módosításán, hogy a megfelelő adatvédelem biztosítása mellett használható legyen a Brave böngészőben a jövőben is.
Forrás: The Register
