Logowanie z Facebookiem może być ryzykowne, zewnętrze skrypty kradną dane

Strona głównaLogowanie z Facebookiem może być ryzykowne, zewnętrze skrypty kradną dane
20.04.2018 17:53
Logowanie z Facebookiem może być ryzykowne, zewnętrze skrypty kradną dane
Kamil Zarzycki
Kamil Zarzycki

Biblioteki JavaScript z różnych usług reklamowych i analitycznych przesyłają dane użytkowników ze stron internetowych, na których jest używana funkcja Zaloguj się za pomocą Facebooka. Naukowcy z Uniwersytetu Princeton przeanalizowali około milion stron. Na 434 z nich znaleziono zewnętrzne skrypty, które pobierają informacje o logowaniu.

Przykładowy skrypt programu przechwytującego dane
Przykładowy skrypt programu przechwytującego dane

Zespół badawczy twierdzi, że gromadzenie danych odbywa się zwykle na dwa różne sposoby. Pierwszy przypadek dotyczy witryn używających funkcji Zaloguj się za pomocą Facebooka, która dla wielu internautów jest najczęściej wykorzystywaną formą uwierzytelnienia. Aby zalogować użytkownikam funkcja ta wysyła żądanie do serwerów Facebooka, których odpowiedzią są dane użytkownika.

350245529349089217

Skrypt, który działa na stronie logowania może przechwycić te dane.Naukowcy z Princeton zidentyfikowali siedem usług śledzących użytkownika, które używały takiego schematu.

350245529349220289

Może się wydawać, że dane pobierane przez biblioteki JavaScript nie mogą dostarczyć zbyt wielu informacji o użytkowniku. Jednak oddział badaczy z Princeton twierdzi, że zdobyć w ten sposób można identyfikator użytkownika na Facebooka, co może pozwolić na przykład na jego śledzenie.

350245529349351361

Drugi sposób pobierania danych więcej ma wspólnego z klasycznym phishingiem. Gdy strona używa funkcji Zaloguj się za pomocą Facebooka, skrypt może osadzić na stronie ukrytą pływającą ramkę, która ma zmylić użytkowników, aby wpisali w nią swoje dane logowania. Tak samo jak w pierwszym scenariuszu, program przechwytuje dane i wyodrębnia dane o użytkowniku.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
Wybrane dla Ciebie
Komentarze (15)