Quanto sono sicure le applicazioni di Facebook?



200910182009-10-18-031-immagine-1

Oggi parliamo di sicurezza, in particolare di quella delle applicazioni su Facebook. Capire come funzionano può sembrare semplice, ma tecnicamente non lo è: la maggior parte di queste, infatti, risiede su un server esterno e anche un semplice passaggio di parametri non corretto può mettere in pericolo i dati di migliaia di utenti. E le applicazioni affette da vulnerabilità sono tante.

E’ notizia recente che due ricerche condotte una da Roger Thompson del centro ricerche AVG e l’altra da Theharmonyguy hanno prodotto risultati allarmanti.

Applicazioni e iframe

Come già detto, quasi tutte le applicazioni su Facebook funzionano per mezzo di un collegamento ad un server di terze parti di gestione dello sviluppatore. Questo collegamento è garantito per mezzo di un iframe che rende incontrollabile il flusso di dati tra Facebook e gli utenti.

Se un hacker (o peggio) penetra all’interno del server dello sviluppatore, Facebook non si accorge del problema e costringe gli amministratori ad una corsa agli armamenti. Ed è proprio quello che è successo ad alcune applicazioni attualmente offline.

Ecco cosa accadeva quando si tentava l’accesso ad una di queste pagine craccate: l’iframe situato nel server dello sviluppatore richiamava un altro iframe invisibile, di origine russa, che sfruttava una falla di Adobe Reader per permette il download di uno spyware, un programma spia, proposto come aggiornamento del software. Installato l’aggiornamento se Adobe Reader non era aggiornato all’ultima versione veniva mostrato un popup di Windows che recitava “Il tuo computer è infetto” con il suggerimento di avviare un programma anti-spyware per un controllo completo. Ma il danno era già stato fatto.

200910182009-10-18-031-immagine-2

Le applicazioni coninvolte da questo problema erano 7: MyGirlySpace, Ferrarifone, Mashpro, Mynameis, Pass-it-on, Fillinthe e Aquariumlife e risultano attualmente offline dopo la soffiata della stessa AVG a Facebook.

Il FAXX Hack e le migliaia di applicazioni coinvolte

La seconda ricerca condotta da Theharmonguy ha tentato l’hack per mezzo di un sistema chiamato FAXX Hack, acronimo di Facebook Application + XSS + XSRF che è principalmente condotto tramite passaggio di parametri trasmessi in fase di caricamento delle pagine o modifica di cookies.

Theharmonguy ha constatato che 9700 tra applicazioni e giochi sono stati soggetti a questo tipo di attacco che può causare sia un danno di lieve entità, quale la scrittura di un testo temporaneo all’interno di una pagina oppure un piccolo aiuto in un gioco, sia qualcosa di più consistente come l’acquisizione di dati personali.

L’aspetto inquietante della vicenda è che almeno la metà di questa moltitudine aveva ottenuto il bollino di qualità come Facebook Verified Application e 6 sono nella top 10 delle applicazioni più usate dagli utenti: FarmVille, Causes, LivingSocial, Movies, Farm Town e YoVille.

Le applicazioni coinvolte sono state contattate dal ricercatore e hanno prontamente tappato i buchi, chi in qualche ora, chi in qualche giorno.

Sicurezza? Si, grazie… ma a che prezzo?

Il controllo delle applicazioni prima dell’autorizzazione a trattare i propri dati è, dunque, fondamentale. Diffidate da notifiche generiche che vi dicono “hai un nuovo messaggio non letto”, oppure “sei stato taggato in una foto, clicca qui per vederla” (ricordate che le notifiche di facebook per messaggi, foto e citazioni riportano SEMPRE il mittente).

Un modo per rendere veramente sicura la navigazione all’interno di Facebook è disabilitare le informazioni disponibili alle applicazioni all’interno delle impostazioni. Facendo così però alcune di queste potrebbero non funzionare a dovere come ad esempio quelle destinate alla gestione dei compleanni oppure in altre gli amici vedrebbero il vostro profilo come l’immagine stilizzata di un omino e un bell’“Utente sconosciuto” affianco.

Se non si vuole rinunciare a questo, l’unica raccomandazione sempre valida è di usare il buon senso quando ci sono in gioco i dati personali.

(immagine 1: Flickr, Bah Humbug, immagine 2: Roger Thompson Blog)

Annunci sponsorizzati:
Condividi su Facebook Condividi su Twitter!
Pinterest