Разработчики Facebook реализовали целый комплекс мер по повышению защищенности пользовательских аккаунтов от взломов. В частности немало приложений соцсети стали использовать access token, представляющий собой маркер доступа, в обязательном порядке требующий подтверждения пользователя, чтобы приложение смогло заиметь безопасный временный доступ к API-функционалу Facebook.

Подтвердив таким манером соответствующий запрос приложения, пользователь выражает согласие на получение приложением доступа к строго определенным данным собственной учетной записи. Маркер при этом сохраняет сведения о своем сроке действия, о сгенерировавшем его приложении, а также об имеющихся у него правах доступа.

Однако независимый египетский эксперт кибербезопасности Ахмед Эльсобки выложил в Сеть скриншот примера проведения MITM-нападения на пользователей Facebook позволяющего атакующему заиметь доступ к такому маркеру. Успех нападению обеспечивает отсутствие HTTPS-соединения в приложениях соцсети.

При этом подразумевается, что приложения, обладающие нужными привилегиями имеют право публикации или удаления контента в этой соцсети и, кроме того, для доступа такие приложения пользуются не паролем, а access-токеном. В результате, любой, завладевший маркером, вплоть до момента окончания его валидации, без проблем сможет заполучить и конфиденциальные данные или выполнить любое, разрешенное для этого приложения действие.

В соцсети заверили, что они уведомлены о слабостях технологии токенов и разработчики уже активно совершенствуют официальные приложения соцсети.

При этом разработчики Facebook специально отметили, что они никак не смогут исправить эту же проблему в приложениях сторонних разработчиков.

Надежные ssl сертификаты Comodo являются идеальным решением для полной защиты персональных данных во время работы в глобальной сети Интернет.