Sākumlapa » Apdraudējumi » Trešās puses trekeri ļaunprātīgi izmanto funkciju Facebook Login

Trešās puses trekeri ļaunprātīgi izmanto funkciju Facebook Login

Kad lietotājs piesakās vietnē, kurā tiek izmantota funkcija Facebook Login, trešās puses trekeri, kas izmantoti resursā, var savākt profila fotoattēlu, vārdu, e-pasta adresi, atrašanās vietu, vecumu un dzimumu. To ir atklājuši Princetonas universitātes zinātnieki Stīvens Engelharts (Steven Englehardt), Guness Akars (Gunes Akar) un Arvinds Narajans (Arvind Narayanan). Ieejot vietnē, izmantojot sociālā tīkla kontu, jūs varat izvairīties no reģistrācijas procedūras, paātrinot procesu un apejot vajadzību atcerēties jaunu paroli. Tomēr pētnieki brīdina, ka tas rada papildus riskus.

 

 

Saskaņā ar pakalpojuma Alexa informāciju 434 no miljona visbiežāk apmeklēto vietņu reklāmas un analīzes pakalpojumi izmanto JavaScript, lai vāktu datus caur Facebook API. Lietotāju informācijas vākšanas mērķis pagaidām nav noskaidrots, bet eksperti atzīmē, ka noteiktus secinājumus var izdarīt, pamatojoties uz to uzņēmumu darbību, uz kuriem šie dati tiek nosūtīti.

Piemēram, OnAudience, Tealium AudienceStream, Lytics un ProPS piedāvā pakalpojumus, lai monetizētu tīkla auditoriju, Forter nodarbojas ar “krāpniecības novēršanu ar identitātes datiem” e-komercijas vietnēm. Viena no platformām, Augur, specializējas vienu un to pašu lietotāju atpazīšanā dažādu veidu ierīcēs un retārgetingu, balstoties uz šiem datiem. Pētnieki uzskata, ka vairums resursu īpašnieku nezina, kas notiek viņu tīmekļa vietnēs. Engelharts arī atzīmēja, ka Facebook vainas noplūdēs nav. Pēc viņa teiktā, netīša datu izpaušana trešām personām notikusi nevis tāpēc, ka ir kļūdas funkcijā Facebook Login. Drīzāk pastāv drošības robežu trūkums starp sociālo tīklu skriptiem un trešo pušu vietnēm.

Pētnieki ir identificējuši divus informācijas iegūšanas veidus. Pirmajā gadījumā apmeklētājs tiek autentificēts, izmantojot Facebook Login API, bet pieteikšanās lapā ievietots trešās puses JavaScript pārtver konta informāciju. Eksperti konstatēja septiņus šādus skriptus, kas pārsūta savākto informāciju dažādiem analītiskajiem pakalpojumiem.

Lielākā daļa JavaScript bibliotēku apkopo tikai konkrētajai vietnei īpaši izveidoto lietotāja ID (app-scoped user id), ar kura palīdzību nevar piekļūt profila informācijai. Tomēr Engelharts un viņa kolēģi uzskata, ka to var pārveidot par globālu Facebook identifikatoru un izmantot, lai iegūtu visu īpašnieka publisko informāciju.

Otru scenāriju izmantoja tikai viens pakalpojums – BandsInTown. Tas ne tikai vāca informāciju savā vietnē, bet arī ievietoja slēptu HTML tagu iframe, kas ieslēdzās, kad lietotājs noklikšķināja uz reklāmas saites un nosūtīja saņemtos datus reklāmdevējiem. Eksperti paziņoja resursa īpašniekiem, ka šo lietotāju datu savākšanas metodi var izmantot ļaunprātīgas vietnes, un problēma tika novērsta.

Pētnieki iesaka ne tikai Facebook, bet arī citiem sociālajiem tīkliem ar līdzīgu pakalpojumu, pārbaudīt iespēju pārtvert lietotāja datus, izmantojot API, kā arī aizliegt trešo personu pakalpojumiem apkopot lieku informāciju.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

3 + 7 =

Uz augšu