20.06.2012 | 10:20

Adam Haertle

Aplikacja Face.com umożliwiała przejęcie kont Facebooka i Twittera

Kilka dni temu Facebook kupił izraelską firmę Face.com, która opracowała innowacyjny algorytm rozpoznawania twarzy. Jedna z jej aplikacji, KLIK, rozpoznaje przyjaciół na zdjęciach. Oraz umożliwia przejęcie konta innego użytkownika.

Zanim rzucicie się przejmować konta znajomych – dziura została już załatana. Jej charakter wskazuje jednak, że programiści Face.com świetnie znają się na rozpoznawaniu twarzy, nie mają jednak pojęcia o bezpieczeństwie. Ale po kolei.

KLIK to faktyczna rewolucja. Gdy w obiektywie aparatu telefonu pojawią się twarze, aplikacja automatycznie je rozpoznaje i oznacza, zanim jeszcze zostanie wykonane zdjęcie. Funkcjonalność bardzo przydatna, jeśli np. zapomnieliśmy, jak ma na imię dziewczyna w czerwonej sukience. Oczywiście dotyczy to tylko przyjaciół użytkownika na Facebooku – który stanowi główne źródło informacji dla algorytmów rozpoznających osoby na zdjęciu.

Jak można było ukraść konto użytkownika

Aby uzyskać dostęp do już oznaczonych zdjęć na profilu użytkownika, aplikacja przechowuje na swoich serwerach token OAUTH Facebooka (i przy okazji także Twittera, by móc publikować tam linki do zdjęć). Jak odkrył izraelski programista, Ashkan Soltani, serwery Face.com przyjmowały, bez żadnej weryfikacji, żądania o podanie przechowywanego w nich tokenu dowolnego użytkownika. Wystarczyło wywołać żądanie POST https://mobile.face.com/mobileapp/getMe.json z odpowiednim parametrem.


Przykład przejęcia tokenu (źródło: http://ashkansoltani.org)

Jaki mógł być skutek przejęcia tokenu?

Oprócz dostępu do wszystkich zdjęć każdego użytkownika (w tym również tych, które nie były udostępnione) kradzież tokenu dawała także możliwość np. wstawiania dowolnych wpisów w imieniu użytkownika zarówno Facebooka jak i Twittera. Dodatkowo, dzięki możliwości przejęcia konta użytkownika, który posiadał wielu znajomych (np. Lady Gaga z 11 milionami fanów, oczywiście przy założeniu, że Lady Gaga może być użytkowniczką aplikacji) atakujący mógł uzyskać możliwość rozpoznawania zupełnie nieznajomych osób na ulicy. Bez wątpienia ciekawa perspektywa.

Ciąg dalszy

Ze względu na duże zagrożenie dla prywatności użytkowników, odkrywca błędu skontaktował się z Face.com, Facebookiem i Twitterem, informując o problemie. Błąd został szybko załatany i nie przeszkodził Facebookowi w nabyciu Face.com za 100 mln dolarów. Przypomina jednak nam wszystkim, jak duże zagrożenia wynikają z szybkiego rozwoju technologii mobilnych i większej koncentracji programistów na funkcjonalności aplikacji, niż na jej bezpieczeństwie.

Powrót

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Aplikacja Face.com umożliwiała przejęcie kont Facebooka i Twittera

Komentarze