O Facebook está ignorando uma falha séria na maneira como limita o acesso dos desenvolvedores de aplicativos a informações sobre seus usuários. É o que afirmam alguns hackers.

O problema estaria na maneira como as APIs (interface de programação de aplicativos) do Facebook funcionam, e podem até levar a mudanças não-autorizadas de senhas, de acordo com hatter e ErrProne, que são membros da comunidade hacker Blackhat Academy.

Os apps da rede social usam uma linguagem de consulta (query) especial chamada de FQL (Facebook Query Language) para extrair e modificar informações do usuário armazenadas na base de dados da rede social. Essa linguagem proprietária é bem documentada e a sua informação é pública, permitindo que qualquer pessoa aprenda sobre ela.

Consultar informações sensíveis do usuário, como endereços de e-mail por meio da FQL exige uma chave API, um identificador único que o Facebook atribui para cada aplicativo, mas muitas outras informações podem ser extraídas a partir da base de dados sem restrições desse tipo. Os dois hackers citados acima até forneceram o código funcional como prova de sua teoria.

De acordo com hatter, as chaves de API têm muito poder desde o momento que são emitidas, e obter uma delas é algo simples. Um programador pode obter e abusar de uma chave de API enquanto o app associado estiver sendo desenvolvido. Os aplicativos têm acesso a mais dados enquanto estão nessa fase, antes de serem lançados; após o Facebook revisar programa, restringirá seus direitos para permitir acesso apenas aos dados que o aplicativo precisa para funcionar.

No entanto, os invasores nem precisam de sua própria chave API para extrair dados. Eles podem usar a chave de um programa legítimo ao instalá-lo em seu perfil e preenchendo suas requisições de informações com identificações de usuários alteradas.

Dependendo das permissões do aplicativo, essa técnica pode ser usada para reunir informações de outros usuários com software instalado, mesmo que esses usuários só tenham compartilhado as informações com seus amigos.

Esse tipo de abuso provavelmente seria detectado rapidamente pela equipe de segurança do Facebook, mas os invasores ainda teriam tempo suficiente para reunir as informações que queriam antes de serem bloqueados.

A Blackhat Academy notificou o Facebook sobre esse problema há mais de dois meses, de acordo com hatter, e o grupo decidiu publicar os detalhes apenas porque a gigante das redes sociais não compartilha das suas preocupações.

Um porta-voz do Facebook rejeitou as alegações, dizendo que "o que essa pessoa chama de uma 'injeção FQL' é simplesmente nossa plataforma de APIs do Facebook funcionando como deveria.”

"Temos uma equipe dedicada que faz um review firme dos aplicativos acessando nossas APIs. Essa equipe usa uma abordagem baseada em riscos, olhando para a velocidade dos aplicativos como definido pelo número de usuários ou quantidade de dados compartilhada”, afirmou o porta-voz.

"Quando um app potencialmente ruim é informado ou detectado pelo nosso sistema, nós agimos prontamente para removê-lo ou penalizá-lo antes que tenha acesso aos dados.”

Os hackers discordam disso, dizendo que o Facebook provavelmente não entendeu o alcance completo do ataque. "A injeção FQL está presente nos aplicativos – ou você pode apenas consultar a API diretamente”, afirma hatter.

O hacker também não está convencido da eficácia dos métodos de defesa do Facebook. "Analisar os aplicativo com base em velocidade é ótimo contra worms e malware que se espalham rapidamente. No entanto, se um único usuário for o alvo desejado, não ajuda muito. Um invasor pode facilmente enganar o alvo ao fazê-lo rodar um único app malicioso”, disse.

A plataforma de aplicativos do Facebook tem sido há algum tempo já uma fonte de riscos de segurança e privacidade. Há alguns meses, foi descoberto que muitos apps, estavam compartilhando e, em alguns casos, vendendo as identificações dos usuários para anunciantes. Isso permitia que os últimos criassem perfis usados em publicidade comportamental.

Fonte: http://idgnow.uol.com.br/seguranca/2011/10/07/aplicativos-do-facebook-tem-falha-grave-de-seguranca-afirmam-hackers/