本周更新的Brave表示,它正在阻止安装一个名为L.O.C.的流行Chrome扩展,因为它暴露了用户';Facebook数据可能被盗。
"如果用户已经登录Facebook,安装此扩展将自动向部分用户授予第三方服务器访问权限';s的Facebook数据和#34;Brave的安全工程师Francois Marier在GitHub发布的帖子中解释道"扩展使用的API不会导致Facebook在应用程序启动前向用户显示权限提示';s的访问令牌已颁发"
然而,该扩展的开发者Loc Mai告诉《登记簿》,他的扩展没有收集信息——正如扩展';美国的隐私政策规定。该扩展目前拥有约70万用户。
"扩展不收集用户';s数据,除非用户成为高级用户,并且它收集的唯一内容是UID,这是每个人独有的,";麦解释道。
Mai说,扩展将令牌存储在本地存储下。触摸这会带来安全风险,但不是';这并不表示有不法行为。L.O.C.继续通过Chrome网络商店提供。
然而,恶意开发者可以使用相同的访问方法获取Facebook数据,因为Facebook公开了一个纯文本令牌,该令牌授予了安全研究人员扎克·爱德华兹(Zach Edwards)所说的";上帝模式"
在发给注册中心的一封电子邮件中,Mai解释说Facebook';s Graph API需要一个用户';s access token to function。为了获得该令牌——这样扩展的用户可以自动处理他们自己的Facebook数据,比如下载他们的消息——扩展向Creator Studio for Facebook发送GET请求。该请求将为登录的Facebook用户返回扩展的访问令牌,从而允许与Facebook数据进行进一步的编程交互。
Mai详细阐述了这一点,以回应Brave#39;这是GitHub的帖子"访问令牌位于该页面的HTML中。任何Facebook用户都可以直接查看来源:https://business.facebook.com/creatorstudio/home并查看其中的访问令牌"
爱德华兹告诉记者";2018年,Facebook面临着几乎相同的丑闻,当时有5000万Facebook账户因象征性曝光而被刮走" 然而脸谱网似乎认为这个数据分发令牌是一个特性,而不是一个bug。
Mai向登记册提供了2019年4月9日的电子邮件副本,他曾在另一个端点报告令牌泄露问题,该端点启用了相同类型的数据访问。Facebook安全部门的回应是";在这种情况下,问题是你';ve描述的功能实际上只是预期的功能,因此没有';我没有资格获得赏金"
"Facebook似乎还没有从2018年吸取教训,仍然在一个特定开发者知道的小众页面上为每个用户公开一个纯文本上帝模式令牌;爱德华兹说"Facebook称这是一项功能,但当第一个扩展开发者从无数页面和用户那里窃取数据时,Facebook最终会承认这一点吗';这就是2018年的问题吗"
《注册》向Facebook询问了相关情况,以及是否如爱德华兹所说,该公司打算撤销从其Creator Studio端点获得的所有代币。我们';我没有回音。
Mai说,他延长服务期限是为了帮助那些想退出Facebook的朋友。拥有超过70万用户的L.O.C.扩展允许人们下载Facebook对话、更改帖子隐私设置、查找和删除朋友以及其他功能。
Mai说,他已被禁止进入Facebook,并补充说,该公司已联系他,指控他未经同意转让或分享用户数据";我从来没有这样做过";——以及购买、出售或交换网站特权,如喜欢、分享,以及Facebook和Instagram追踪的参与的其他方面——他也否认了这一点。
然而,他说,他';D考虑删除他的扩展和第34;如果Facebook对我的Facebook账户和Instagram账户更合理,如果他们为我提供了更好的理由,说明我的扩展对其他人有害"
登记册询问Brave是否打算重新考虑基于Mai'的L.O.C.禁令;他解释了什么';这是怎么回事。一位勇敢的发言人说,“我们正在与扩展作者合作,对扩展进行一些更改,以便在勇敢中解除阻止。”。
爱德华兹说Facebook';s的服务条款在这方面存在缺陷,因为尽管该公司坚持人们使用其应用程序平台,但它没有';t阻止人们使用浏览器扩展。
Chrome扩展目前的工作方式加剧了暴露用户数据的这一差距。正如Edwards所描述的,Chrome扩展可以在你控制的一个域和你不控制的另一个域上请求权限';t、 然后在安装时打开一个浏览器选项卡,为各种不同类型的应用程序创建一个获取API令牌和会话ID的机会。
"Facebook只是碰巧在其';创作者工作室';他们创建了一个新的应用程序,这使得控制其中一个扩展的人可以刮取数十万个Facebook代币,而无需注册Facebook开发者程序,也无需使用正确的/原生的Facebook应用程序/开发人员共享功能;爱德华兹解释道。
"基本上,Facebook可以';t';39岁;一个扩展,即使Facebook知道该扩展不应该被允许在Facebook上请求权限。com和他们自己的团队认为';这是恶意的,";他补充道。
"目前,谷歌没有';我不想承认[Chrome App Store]已经挤满了开发者,他们要求获得两个域名的权限,一个是他们控制的,另一个是他们不控制的';t、 这种做法只需要尽快停止,或者得到谷歌的公开承认,这样他们就可以解释未来防止这些问题的任何修复方法"
Edwards说,在Chrome扩展权限的广泛范围和Facebook令人困惑的决定之间;上帝模式";在收到问题警报后,在页面上嵌入多年的令牌,它';这是数据盗窃的完美风暴。®
这篇报道发表后,Meta的一位发言人发电子邮件说,“我们正在调查这些说法,并将采取适当的行动来维护我们的政策和保护人们的信息。”