O Facebook está ignorando uma falha séria na maneira como limita o
acesso dos desenvolvedores de aplicativos a informações sobre seus
usuários. É o que afirmam alguns hackers.
O problema estaria na maneira como as APIs (interface de programação
de aplicativos) do Facebook funcionam, e podem até levar a mudanças
não-autorizadas de senhas, de acordo com hatter e ErrProne, que são
membros da comunidade hacker Blackhat Academy.
Os apps da rede social usam uma linguagem de consulta (query)
especial chamada de FQL (Facebook Query Language) para extrair e
modificar informações do usuário armazenadas na base de dados da rede
social. Essa linguagem proprietária é bem documentada e a sua informação
é pública, permitindo que qualquer pessoa aprenda sobre ela.
Consultar informações sensíveis do usuário, como endereços de e-mail
por meio da FQL exige uma chave API, um identificador único que o
Facebook atribui para cada aplicativo, mas muitas outras informações
podem ser extraídas a partir da base de dados sem restrições desse tipo.
Os dois hackers citados acima até forneceram o código funcional como
prova de sua teoria.
De acordo com hatter, as chaves de API têm muito poder desde o
momento que são emitidas, e obter uma delas é algo simples. Um
programador pode obter e abusar de uma chave de API enquanto o app
associado estiver sendo desenvolvido. Os aplicativos têm acesso a mais
dados enquanto estão nessa fase, antes de serem lançados; após o
Facebook revisar programa, restringirá seus direitos para permitir
acesso apenas aos dados que o aplicativo precisa para funcionar.
No entanto, os invasores nem precisam de sua própria chave API para
extrair dados. Eles podem usar a chave de um programa legítimo ao
instalá-lo em seu perfil e preenchendo suas requisições de informações
com identificações de usuários alteradas.
Dependendo das permissões do aplicativo, essa técnica pode ser usada
para reunir informações de outros usuários com software instalado, mesmo
que esses usuários só tenham compartilhado as informações com seus
amigos.
Esse tipo de abuso provavelmente seria detectado rapidamente pela
equipe de segurança do Facebook, mas os invasores ainda teriam tempo
suficiente para reunir as informações que queriam antes de serem
bloqueados.
A Blackhat Academy notificou o Facebook sobre esse problema há mais
de dois meses, de acordo com hatter, e o grupo decidiu publicar os
detalhes apenas porque a gigante das redes sociais não compartilha das
suas preocupações.
Um porta-voz do Facebook rejeitou as alegações, dizendo que "o que
essa pessoa chama de uma 'injeção FQL' é simplesmente nossa plataforma
de APIs do Facebook funcionando como deveria.”
"Temos uma equipe dedicada que faz um review firme dos aplicativos
acessando nossas APIs. Essa equipe usa uma abordagem baseada em riscos,
olhando para a velocidade dos aplicativos como definido pelo número de
usuários ou quantidade de dados compartilhada”, afirmou o porta-voz.
"Quando um app potencialmente ruim é informado ou detectado pelo
nosso sistema, nós agimos prontamente para removê-lo ou penalizá-lo
antes que tenha acesso aos dados.”
Os hackers discordam disso, dizendo que o Facebook provavelmente não
entendeu o alcance completo do ataque. "A injeção FQL está presente nos
aplicativos – ou você pode apenas consultar a API diretamente”, afirma
hatter.
O hacker também não está convencido da eficácia dos métodos de defesa
do Facebook. "Analisar os aplicativo com base em velocidade é ótimo
contra worms e malware que se espalham rapidamente. No entanto, se um
único usuário for o alvo desejado, não ajuda muito. Um invasor pode
facilmente enganar o alvo ao fazê-lo rodar um único app malicioso”,
disse.
A plataforma de aplicativos do Facebook tem sido há algum tempo já
uma fonte de riscos de segurança e privacidade. Há alguns meses, foi
descoberto que muitos apps, estavam compartilhando e, em alguns casos,
vendendo as identificações dos usuários para anunciantes. Isso permitia
que os últimos criassem perfis usados em publicidade comportamental.
Fonte: http://idgnow.uol.com.br/seguranca/2011/10/07/aplicativos-do-facebook-tem-falha-grave-de-seguranca-afirmam-hackers/