Ezt nem lájkoljuk: támadás a Facebook felhasználók ellen

2010. május 07., péntek, 09:55
Szerző: hvg.hu

Címkék: támadás; biztonság; Facebook; átverés; internetbiztonság; like; like gomb;

Kinyomtatom • Elküldöm •Hozzászólások (#4)

A Facebookon egyre gyakrabban bukkannak fel ugyanazt a trükköt használó alkalmazások, amelyek a böngészők same origin policy-jébe (SOP), és a Facebook fejlesztői interfészébe épített védelmeket nem feltörik, hanem egyszerűen megkerülik - méghozzá a felhasználó segítségével. Ezúttal a like funkcióval éltek vissza - 24 órán belül kétszer is.

SOP

Az SOP azt biztosítja, hogy egymás mellett futó, de különböző helyről származó (értsd: betöltött) alkalmazások (web oldalak) nem látják egymás bizalmas adatait (Cookie-k, változók), míg a Facebook api-ja (programozói felület) a Facebookon tárolt adatokhoz és szolgáltatásokhoz csak ellenőrzött és feljogosított kéréseket engedélyeznek.

A támadó alkalmazás a Facebookon különböző változatokban terjed: két kép között a különbségeket vagy egy nehéznek tűnő kérdésre a választ kell megtalálni, vagy mint a legutóbbi esetben, egy plusz szolgáltatás ígéretével (láthatod, ki nézte meg a profilodat) csapja be a felhasználót. Ami ezekben az alkalmazásokban közös, hogy a helyes válasz megjelenítéséhez vagy kért funkció eléréséhez a felhasználó segítségét kéri: először a Ctrl-C-t kell leütni, majd az Alt-D, végül a Ctrl-V-t és ENTER-t.

Az ártatlan segítségnyújtással viszont éppen a beépített védelmeket kerüljük meg, amin a program magától nem tudna átjutni. Ugyanis a Ctrl-C leütésével egy előre kijelölt és kódolt javascript programot helyezünk a vágólapra, az Alt-D leütésével kiválasztjuk a navigációs sort, majd a Ctrl-V és ENTER párossal beillesztjük és lefuttatjuk a javascript programot.

Ami számunkra csak pár kattintásra és billentyűleütés távolságra van, az a böngészők fenti biztonsági védelmei miatt áthatolhatatlan messzeségbe kerülnek, ugyanis a Facebookon az alkalmazás egy beágyazott korlátozott futtatókörnyezetben működik, ahonnan a Facebookot csak ellenőrzött és korlátozott programhívásokon keresztül tudja elérni. A javascript program böngészősorba való másolásával ezeket a védelmeket kerüli ki a felhasználó.

A javascript kód visszafejtésével kiderült működési mechanizmusa is: a bejelentkezett Facebookos felhasználó NEVÉBEN annak kattintásait programból emulálva úgy tesz, mintha a felhasználó használná a Facebook felületét. A vizsgált program ebben az esetben ártalmatlannak tűnő dologra veszi rá a felhasználót: egy adott oldalt megjelölt kedvencként és ismerőseinknek is ajánlja azt. Ugyanakkor fontos megjegyezni, hogy ugyanezzel a technikával egyéb kártékony feladatot is el lehet végeztetni a felhasználó nevében és ezek az alkalmazások már valahol készülnek... Tekintsük úgy az elmúlt napok eseményeit, mint egy nagyobb terv tesztelését...

„Ennek a végül is ártalmatlan történetnek is van néhány fontos tanulsága.” – vonta le a következtetést Bártfai Attila a kancellar.hu üzletfejlesztési igazgatója. Először is, aki még nem tudná, a böngésző címsorában is lehet programot futtatni, ami az adott oldalon elérhető minden védett tartalmat elér, ezért onnan javascriptet futtatni csak akkor szabad, ha tudjuk, mit csinálunk. Minden olyan szöveget óvatosan kezeljünk, ami „javascript:” karakter sorozattal kezdődik. Ökölszabályként inkább ne is írjunk be ilyen kezdetű szövegeket a címsorba.

Kinyomtatom • Elküldöm •Hozzászólások (#4)

KAPCSOLÓDÓ ANYAGOK:

4 HOZZÁSZÓLÁS

2010. május 9., 23:26

Balázs Rozsenich

A Like gomb a Facebook beépülő modulja, nem a hvg tehet róla, hogy angol. Idővel, úgy mint az egész oldal, ez is elérhető lesz amgyar nyelven.

2010. május 7., 17:01

Fridrik bla

Na már a hvg is "lájkol" mint egy idióta. Gratulálok az okos propellernek a yammnak, hogy kitalálta ezt az idióta szót.

2010. május 7., 15:05

Simonyi István

Sztem se kell minden hülye csoporthoz kapcsolodni, csak mert nagyot ígérnek....

Valamint a nem tetszik gomb-ot Én is hiányolom...Miért csak azt fejezhetem ki ha tetszik? Az is jó lenne, ha elmondhatnám, hogy ez a dolog viszont nem tetszik.

2010. május 7., 11:25

varvizib

Először is, nem kellene minden hülyeséget külföldről átvenni, főleg nem úgy, hogy csorbuljon közben a magyar nyelv. Megjegyzem, nagyon sok helyen már láttam a "Tetszik" gombot, a hvg-n még mindig a legtöbbször angolul, "Like"-ként jelenik meg, és innen származik a "lájkolás" szó is. Ez egy undorító förtelem, aminek az újságírók segítik a terjesztését.

Ha mögé nézünk: mivel a funkció használatához bejelentkezés szükséges, így adatvédelmi aggályokat vet fel, mert alkalmas arra hogy felhasználói szokásokat lehessen elemezni: ki milyen weboldalakat olvas, milyen az ízlése stb. Innen csupán 1 lépés a személyre szabott reklám, vagy az, hogy éppen ezt használják fel valamilyen formában a felhasználó ellen, esetleg ez legyen az egyik eszköze a hatalom központosításának. Mennyivel könnyebb lesz cenzúrázni (és felismerni egy-egy rendszer vélt ellenségeit), ha célzottan lehet kigyűjteni a felhasználókat, az internetes viselkedésük alapján!

Egyébként továbbra is javaslom a fejlesztőknek, hogy a "Tetszik" gomb mellett legyen egy "Nem tetszik" is, esetleg egy többfokozatú skálán lehessen értékelni a cikket, az még használhatóbbá tenné a funkciót. Valamint innentől kezdve viszont figyelni kell arra, hogy a személyes adatokat tényleg csak saját ismerősök lássák, és akkor nincs gond ezzel.

Ha mindezeket a facebook üzemeltetői kezelik, akkor viszont valós lehet a félelem a visszaéléstől. És rögtön érthetővé is válik, miért írták meg ezeket a bizonyos szkripteket a készítők: ha hamis adatokat kevernek a valósak közé, akkor csökken annak esélye, hogy ezeket a felhasználó kárára felhasználhassák. (És persze a "Tetszik" funkció is értelmetlenné válik.)