Enligt två hackare på Blackhat Academy har Facebook alltför länge ignorerat sårbarheter och brister i sitt applikationsgränssnitt (api) för tredjepartsprogram.
Sårbarheterna kan utnyttjas för att komma åt otillbörlig användarinformation och kan till och med utnyttjas för att ändra lösenord, säger hackarna, Hatter och ErrProne, som också publicerat en proof-of-concept med fungerande kod.
Facebook-applikationer använder sig av ett språk kallat fql (facebook query language) för att komma åt och modifiera användarinformation som lagrats i nätverksjättens databas. Fql är ett öppet tillgängligt språk som vem som helst kan ta del av.
För att hämta användarinformation, som till exempel mejladresser via fql, krävs samtidigt en api-nyckel. Nyckeln utgör en unik identifikation som Facebook kopplar till varje applikation.
Enligt Hatter ger dock api-nycklarna för stora befogenheter när de utfärdas. En programmerare med oärliga avsikter kan missbruka detta medan applikationen fortfarande är i sin utvecklingsfas. Detta eftersom nycklarna har fler databasrättigheter i det skedet jämfört med när applikationen är lanserad i skarpt läge och Facebook begränsat rättigheterna.
En annan säkerhetsbrist är att angripare inte ens behöver sin egen nyckel för att komma åt data. Det är möjligt att utnyttja en annan redan godkänd applikations api-nyckel. Detta genom att installera applikationen på sin egen profil och ge den dataförfrågningar med manipulerade användaridentiteter. Beroende på applikationens rättigheter, kan tekniken användas för att komma åt information från andra användare som installerat samma applikation. Det fungerar till och med mot användare som valt att bara dela ut information till sina vänner, varnar hackarna.
Hatter säg också att man meddelat Facebook om sårbarhetrna redan den 31 juli i år, men uppger att företaget inte tagit dem på allvar.
Enligt en talesperson på Facebook ska det dock röra sig om ett missförstånd. ”Det som denna person kallar för en Fql-injektion är helt enkelt vår plattforms api som fungerar som den ska”.
