Facebook despreza avisos de segurança

A empresa gestora da rede social está ignorar um problema nas API disponibilizadas a programadores de aplicações, revelado por membros da Blackhat Academy.


A Facebook está a desprezar uma falha de segurança considerada grave por hackers da Blackhat Academy: trata-se de um problema na forma como a Application Programming Interface (API) limita o acesso de programadores de aplicações aos dados dos utilizadores da rede social Facebook. De acordo com os hackers hatter e ErrProne, a vulnerabilidade pode até facilitar a mudança não autorizada de senhas de acesso.

As aplicações usam uma linguagem de consulta (query) especial chamada FQL (Facebook Query Language) para extrair e modificar informações do utilizador, armazenadas na base de dados da rede social. Essa linguagem proprietária está bem documentada e a sua informação é pública, permitindo a qualquer pessoa conhecê-la.

Para se consultar informações sensíveis sobre o utilizador,  como endereços de e-mail através da FQL, é preciso uma chave de API. É um identificador único atribuído pelo Facebook a cada aplicação. Contudo, muitas outras informações podem ser extraídas a partir da base de dados, sem restrições desse tipo. Os dois hackers citados acima até forneceram código, como prova das suas alegações.

De acordo com hatter, as chaves de API conferem demasiado poder desde o momento em que são emitidas, e obter uma delas é simples. Um programador pode conseguir e utilizar abusivamente uma chave de API, enquanto a aplicação associada estiver a ser desenvolvida.

As aplicações têm acesso a mais dados enquanto estão nessa fase, antes de serem lançadas. Depois de a Facebook rever o programa, restringe os direitos de acesso. Procura assim que a plataforma forneça às aplicações os dados necessários para elas funcionarem.

No entanto, os intrusos nem precisam de ter a sua chave de API própria para extrair dados. Podem usar a chave de um programa legítimo ao instalá-la no seu perfil  e respondendo aos seus pedidos de autenticação com dados alterados de identificação de utilizadores. Dependendo das permissões da aplicação, essa técnica pode ser usada para reunir informações de outros utilizadores com o mesmo software instalado. Mesmo que esses utilizadores só tenham partilhado as informações com os seus amigos.

Esse tipo de utilização abusiva seria provavelmente detectada rapidamente pela equipa de segurança da Facebook. Contudo os intrusos teriam ainda tempo suficiente para reunir as informações pretendidas antes de serem bloqueados.

A Blackhat Academy notificou o Facebook sobre esse problema há mais de dois meses, de acordo com hatter.  A comunidade decidiu então publicar os detalhes apenas porque a organização das redes sociais não concorda com as preocupações dos especialistas.

Um porta-voz do Facebook rejeitou as alegações, dizendo que “o que essa pessoa denomina de ‘injecção FQL’ é simplesmente a nossa plataforma de API a funcionar como deveria”. “Temos uma equipa dedicada a rever de forma reforçada as aplicações que acedem às nossas API. Utiliza uma abordagem baseada em riscos, olhando para a velocidade das aplicações face ao número de utilizadores ou à quantidade de dados partilhados”, afirmou o porta-voz.

“Quando uma aplicação nociva é denunciada por um utilizador, ou detectada pelo nosso sistema, agimos prontamente para removê-la ou sancioná-la antes de esta ter acesso a dados”. Os hackers discordam disso, e levantam a hipótese de o Facebook não ter percebido o alcance e a gravidade da falha de segurança. “A injecção de FQL está presente nas aplicações – ou é possível consultar a API directamente”, afirma hatter.

O hacker também não está convencido da eficácia dos métodos de protecção usados para a Facebook. “Analisar as aplicações com base na sua velocidade é óptimo face a worms e malware concebidos para se espalharem rapidamente. No entanto, se o alvo pretendido for apenas um utilizador, esse método não ajuda muito. Um intruso pode facilmente enganar a vítima fazendo-a correr uma única aplicação”, disse.

A plataforma de aplicações do Facebook tem sido há algum tempo uma fonte de riscos de segurança e de problemas de privacidade. Há alguns meses, descobriu-se que muitas aplicações estavam a partilhar, e em alguns casos, a vender as identificações dos utilizadores, a potenciais anunciantes. Isso permitia que os últimos criassem perfis usados em publicidade comportamental.

A Trend Micro revelou esta semana um incidente no qual criminosos conseguiram expor para download, dispositivos de software nocivo – através de publicidade mal intencionada – numa aplicação legítima. São indicações claras de que a Facebook não consegue garantir  um funcionamento seguro das aplicações na sua rede: as API com vulnerabilidades são apenas mais uma problema capaz de ser explorado.

António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

Inscreva-se e Receba Grátis:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos
Avaliar Artigo:
[0 Estrelas]

DEIXAR COMENTÁRIO:

Leave a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.

Categorias:

PROBLEMAS INFORMÁTICOS?
Escolha aqui um serviço!

Este site utiliza cookies para melhorar a sua experiência. Ao continuar a navegar estará a aceitar a sua utilização. Pode consultar mais informação no Centro de Privacidade.