Специалист по компьютерной безопасности Джоуи Тайсон, известный также как
theharmonyguy,
опубликовал подробности о новой серьезной уязвимости в Facebook Platform,
позволяющей вредоносному сайту тайно и без участия пользователя получать доступ
к информации из его профиля, фотографиям, переписке и сообщениям на "стене".
Эксплоит, возможность применения которого уже устранена, позволяет
перехватить сессию ранее авторизованного стороннего приложения Facebook и
передать возможность работы внутри нее вредоносной программе. Сам Тайсон, к
примеру, вставил в невидимый фрейм на своем сайте игру Farmville, после чего
изменил ряд параметров Facebook Platform для того, чтобы передать все права
доступа, которые у нее были, вредоносному приложению для сбора информации.
Таким образом, данные любого из миллионов пользователей Facebook, ранее
установивших Farmville и затем посетивших безобидный с виду демонстрационный
сайт Тайсона, могли быть тайно переданы эксперту. Кроме того, если Farmville
были даны дополнительные права – например, доступ к сообщениям на "стене", то
вредоносная программа Тайсона также имела возможность получить их. По словам
эксперта, аналогичные манипуляции можно проделать с любым сторонним приложением
для Facebook, а игра Farmville была выбрана им исключительно из-за масштабов ее
распространения.
К счастью, исследователь полагает, что реальных эксплоитов для данной
конкретной бреши нет, несмотря на то, что она могла существовать уже более года.
Тем не менее, отдавая должно оперативности Facebook, Тайсон все же указывает,
что у Facebook Platform по-прежнему имеются проблемы с настройками.
