Facebook ha chiuso una grave vulnerabilità di sicurezza che avrebbe permesso a siti Web dannosi di leggere i dati personali da parte dei visitatori che avevano effettuato l'accesso al sito di social network. Il difetto è stato scoperto da due studenti di nome Wang Rui e Zhou Li, che hanno trasmesso tutte le informazioni utili insieme ad un proof-of-concept di attacco alla società.
La vulnerabilità permetteva a siti Web dannosi di accedere ai dati privati di un utente di Facebook connesso con il proprio account senza il suo consenso. Secondo Rui e Zhou, è stato possibile per qualsiasi sito web di impersonare altri siti che fossero stati autorizzati ad accedere ai dati degli utenti come il nome, sesso e la data di nascita.
Inoltre, i ricercatori hanno trovato un modo per pubblicare il contenuto sulle bacheche di Facebook degli utenti in visita - un modo potenziale per diffondere malware e attacchi phishig.
La pagina quindi inganna l'utente facendo credere di essere sul sito legittimo di Facebook (falsa finestra di dialogo dei permessi per le applicazioni, una caratteristica che la stragrande maggioranza degli utenti di Facebook utilizza), permettendo di accedere a informazioni personali dell'utente, come data di nascita o l'indirizzo email.
La buona notizia è che gli studenti hanno praticato una divulgazione responsabile e informato il team di sicurezza di Facebook riguardo il difetto, piuttosto che rilasciare dettagli a tutti quanti su come sfruttare i profili degli utenti.
La vulnerabilità è stata confermata solo nei casi in cui un utente di Facebook avesse permesso le applicazioni. L'installazione di un lettore basato su browser Flash è un altro presupposto necessario per tirare fuori l'attacco. Facebook Security risposto con prontezza, e dovrebbe essere applaudito per la fissazione della vulnerabilità in tempi rapidissimi una volta che sono stati informati.
Via: The Register
Nessun commento:
Posta un commento