Não há limites para os dados do Facebook: rastreadores de terceiros abusam do login do Facebook

Uso de Login do Facebook para acesso de aplicativos externos trás risco para o usuário

Não há limites para os dados do Facebook: rastreadores de terceiros abusam do login do Facebook. Para os usuários, logar nos diversos aplicativos com o Login do Facebook parece um benefício muito bom, pois eles só precisam usar (e lembrar) a sua senha do Facebook para fazer login em vários sites ou aplicativos. Isso, no entanto, faz com que o usuário credite ao Facebook toda confiança na guarda de sua nformação mais secreta: “Login e Senha”.

Um pesquisador de segurança afirmou que é possível extrair informações do usuário do serviço de login do Facebook, a ferramenta que permite que você faça login em sites de terceiros com um ID do Facebook. No mais recente trabalho de Englebardt, em parceria com Gunes Acar e Arvind Narayanan, os três explicam que eles identificaram sete sites que acessam dados de usuários do Facebook, e um site usando o aplicativo do Facebook para rastrear usuários na Web.

De fato, o login do Facebook e outros sistemas de login social simplificam o processo de criação de conta para os usuários, diminuindo o número de senhas a serem lembradas. Mas o login social traz riscos: o Cambridge Analytica foi considerado mau uso dos dados do usuário coletados por um aplicativo de teste do Facebook que usava o recurso Login com o Facebook. No entanto os pesquisadores descobriram um risco adicional: “quando um usuário concede a um website acesso a seu perfil de mídia social, ele não está confiando apenas nesse website, mas também em terceiros incorporados nesse site”.

Encontramos sete scripts coletando dados de usuários do Facebook usando o acesso ao Facebook da primeira parte”, escreveu ele. A prática ainda não está difundida, felizmente: os scripts para coletar essas informações do usuário foram encontrados apenas em 434 dos milhões de sites do Alexa, incluindo “fiverr.com, bhphotovideo.com e mongodb.com”.

O ID do usuário coletado por meio da API do Facebook é específico para o site (ou o “aplicativo” na terminologia do Facebook), o que limitaria o potencial de rastreamento entre sites. Mas esses IDs de usuário com escopo de aplicativo podem ser usados para recuperar o ID global do Facebook, a foto do perfil do usuário e outras informações de perfil público, que podem ser usadas para identificar e rastrear usuários em sites e dispositivos .

A tabela abaixo, publicada no trabalho de Englebardt,  mostra alguns exemplos de coleta de dados de alguns sites que a equipe identificou.

Na figura abaixo Englebardt representa  o que ele chamou de “Terceiros pegam carona no acesso ao Facebook concedido a sites“. Quando um usuário clica em “Login com o Facebook”, ele recebe uma solicitação para permitir que o site que ele visita acesse algumas de suas informações de perfil do Facebook [2]. Mesmo depois das recentes tentativas do Facebook de bloquear o recurso, os sites podem solicitar o endereço de e-mail do usuário e o “perfil público” (nome, faixa etária, sexo, localidade e foto do perfil) sem ativar uma revisão manual do Facebook. Quando o usuário permite o acesso, qualquer JavaScript de terceiros incorporado na página, como o tracker.com na figura abaixo, também pode recuperar as informações do usuário no Facebook como se fossem o primeiro a participar [3].

 

Englebardt também descrever outro comportamento possível que afeta a privacidade dos dados dos usuários. Definindo como : “Rastreando usuários pela web com o serviço de login do Facebook” , Englebardt explica que alguns os rastreadores de terceiros ocultos também podem usar o Login do Facebook para levar os usuários para publicidade segmentada. “Esta é uma violação de privacidade, pois é inesperada e os usuários não sabem disso“, afirma o artigo. Mas como um rastreador oculto pode fazer o usuário entrar com o Facebook?  Quando o mesmo rastreador também é uma primeira parte que os usuários visitam diretamente. Isso é exatamente o que achamos que Bandsintown está fazendo. Pior, eles o fizeram de uma forma que permitia que qualquer site malicioso incorporasse o iframe da Bandsintown para identificar seus usuários.

O site da Bandsintown (representado como tracker.com) permite que os visitantes aprendam sobre concertos locais e sigam artistas nos quais possam se interessar. Para seguir um artista, os usuários precisam fazer login no Facebook e dar acesso ao aplicativo Bandsintown Facebook ao seu perfil, apontar a cidade que quer, informar o endereço de e-mail e o tipo de música. Neste ponto, o Bandsintown tem acesso aos tokens de autenticação necessários para acessar as informações da conta do Facebook.
Bandsintown então oferece um serviço de publicidade chamado “Amplified”, que está presente em muitos dos principais sites relacionados a música, incluindo lyrics.com, songlyrics.com e lyricsmania.com. Quando um usuário do Bandsintown navega até um website que incorpora o produto de publicidade Amplified da Bandsintown, o script de publicidade incorpora um iframe invisível que se conecta ao aplicativo Facebook da Bandsintown usando os tokens de autenticação estabelecidos anteriormente e captura o ID do usuário no Facebook. O iframe passa o ID do usuário de volta ao script de incorporação.

Descobrimos que o iframe injetado pela Bandsintown passaria as informações do usuário para o script de incorporação indiscriminadamente. Assim, qualquer site mal-intencionado poderia ter usado o iframe para identificar visitantes. Informamos a Bandsintown sobre essa vulnerabilidade e eles confirmaram que ela está corrigida agora.”, relata o trabalho de Englebardt,.

Englehardt enfatizou que “Essa exposição não intencional de dados do Facebook a terceiros não se deve a um bug no recurso de login do Facebook. Pelo contrário, é devido à falta de limites de segurança entre os scripts primários e de terceiros na Web atual. Ainda assim, há etapas que o Facebook e outros provedores de login social podem adotar para evitar abusos: o uso da API pode ser auditado para revisar como, onde e quais partes estão acessando dados de login social. O Facebook também pode proibir a pesquisa de imagens de perfil e IDs de Facebook globais por IDs de usuário com escopo de aplicativo.”

 

fonte: Freedom to Thinker 

 

Veja também:

 

 

 

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

9 Trackbacks / Pingbacks

  1. Grupos de Whatsapp familiar são os maiores propagadores de "fake news"
  2. Hackers do CCLeaner ganharam acesso pelo TeamViewer
  3. O caso Facebook parece não ter fim
  4. 340 Milhões de dados vazados em empresa de Marketing nos EUA
  5. 5 lugares onde hackers estão roubando seus dados em 2019
  6. 5 lugares onde hackers estão roubando seus dados em 2019 – Information Security
  7. 5 lugares onde hackers estão roubando seus dados em 2019 – Neotel Segurança Digital
  8. AutoFill do Linkedin vaza informações confidenciais
  9. O que os maiores vazamento de dados de 2021 nos diz sobre Privacidade

Deixe sua opinião!