حفره امنیتی Yelp و خطر سرقت اطلاعات برای کابران فیس بوک

  • 1389/2/29
  • محمدرضا ارجمندی
  • 8


همانطور که پیش بینی می شد بخش سفارشی سازی فوری(Instant Personalization) سایت فیس بوک دچار مشکلی جدید شد،امروز اخباری منتشر شد که این قابلیت فیس بوک را حتی بیشتر ناامید کننده ساخت.آقای جرج دگلین یک متخصص امنیتی وب  یک حفره را کشف کرده که به برنامه های اینترنتی مخرب اجازه می دهد تا به سرعت اطلاعات کاربران فیس بوک از قبیل نام ،ایمیل،و اطلاعات به اشتراک گذارده شده توسط کاربر به دوستان را بدون هیچ نیازی به آگاه شدن کاربر از این کار استخراج و سرقت کند.اگر چه این حفره خاص ترمیم شده و بنا به ادعای فیس بوک اطلاعات هیچ کاربری سرقت نشده اما مسئله این است که مشکلات امنیتی از این دست همچنان وجود دارد.

حفره به برنامه های مخرب اجازه می داد با استفاده از کد های مشترک میان سایت ها(Cross Site Scripting) کد های برنامه مخرب را به برنامه Yelp تزریق کند.اگرچه چنین حمله ای به خصوص برای کاربران فیس بوک آلودگی وسیعی نداشته است اما برای Yelp که یکی از سه سایت مدعی در ارائه خدمات شخصی سازی برای کاربران فیس بوک است البته حمله خطرناکی به شمار می رود.پس از نصب برنامه مخصوص Yelp توسط کاربر فیس بوک ،سایت Yelp این امکان را می یابد که به محض بازدید های کاربر از ان سایت و بدون نیاز به زدن دکمه  login  یا Connect  (به منظور ایجاد سهولت برای کاربر)به اطلاعات اصلی حساب کابر دسترسی پیدا کند.اما همین سهولت می تواند یک ریسک باشد،اگر چنین سایتی دچار هر نوع حمله ای شود همراه با خود کاربر فیس بوک را هم به ورطه نابودی می کشاند.

در زیر توضیحی فنی در مورد چگونگی کار این حفره می آید:

کد های کاربران در استفاده از وب سایت  Yelp.com به شکل کوکی در مرورگر رایانه شان ذخیره شده،سپس به استخراج یک کلید برای پذیرفتن درخواست های  Open Graph API در رابط برنامه نویسی فیس بوک پرداخته و آن کلید را به آدرس کاربر می فرستد.آدرس کاربر سپس درخواست نام،ایمیل،غیره  کرده و به ذخیره این اطلاعات در پایگاه داده خود می کند.

به عبارت دیگر،اگر از سایت مخربی بازدید کنید به سرعت تمامی اطلاعاتی که Yelp به آن دسترسی دارد در اختیار آن سایت قرا می گیرد.و اطلاعات تحت دسترسی Yelp هم زیاد بوده و شامل ایمیل شما،نام ،عکس پروفایل،محل سکونت،لیست دوستان و شبکه هایی است که در ان عضویت دارید.نیاز به هیچ کلیکی بر روی محتوای سایت مخرب هم نیست.حتی اگر پس از نصب هیچ دفعه ای هم از Yelp استفاده نکرده باشید باز هم در خطر سرقت اطلاعات قرار دارید.جالب است چون در حالی که اکثر برنامه های فیس بوک از کاربران اجازه می گیرند تا به قسمتهایی از اطلاعات مانند آدرس ایمیلشان دسترسی یابند Yelp هیچ اجازه ای از کاربران نمی گیرد!

به روز رسانی:امروز صبح،سایت فیس بوک ادعا کرد که آدرس های ایمیلی که توسط این حفره به دام سایت های مخرب افتاده اند از طریق سفارشی سازی سریع این سایت نبوده.این اشتباه است(به زیر مراجعه کنید).در زیر بیانیه اولیه فیس بوک آمده است:

«این مشکل از آسیب پذیری وب سایت Yelp بوده  و ربطی به برنامه پایلوت سفارشی سازی سریع فیس بوک ندارد.اگر مشکل آسیب پذیری هم برای برنامه ایجاد شده باشد،شخص تخریب گر قادر به دسترسی به  اطلاعاتی از کاربران بوده که به شکل عمومی در دسترس همه کابران بوده است.لازم به ذکر است که آدرس های ایمیل کاربران در بخش سفارشی سازی سریع به اشتراک گذارده نمی شود و کاربر تنها در صورتی مورد حمله واقع می شود که بر روی لینکی کلیک کند که تنها هدف آن سرت اطلاعات کاربران است.

پس از کمی این دست،آن دست کردن ،بالاخره فیس بوک هم پذیرفت که آدرس ایمیل کاربران هم مورد هجوم قرار می گیرد.در واقع،این امر حتی بدتر از آنچه که ما فکر می کردیم هم باشد:نه تنها آدرس ایمیل خود کاربر ،بلکه کلیه آدرس های دوستان یک کاربر هم مورد دسترسی سایت مخرب قرار می گیرد! فیس بوک ادعا می کند که برنامه Yelp هیچ گاه اجازه دسترسی به چنین چیزی(ادرس دوستان کاربر) را نداشته است که دلیلی بر نقض بیانیه پیشین آنهاست.آنها می گویند که این امر ناشی از یک باگ در برنامه است!

در زیر بیانیه آنها در این زمینه آمده:

«با تشکر از کسانی که این نکته را گوشزد کرده اند،این مشکل ناشی از یک باگ از سوی ما بوده است که خوشبختانه برطرف شده است»

خوشبتختانه فیس بوک و Yelp پس از اطلاع از این حفره امنیتی به سرعت بخش Instant Personalization را به مدت یکی دو ساعت تعطیل کرده و به رفع مشکل پرداختند.

اما این قضیه چیزی از مشکل بالقوه را حل نمی کند.بخش Instant Personalization برای مدت چند هفته  در اختیار 3 سایت قرار گرفت،و یکی از آنها چنین مشکلی را به وجود آورد.با توجه به مشکلات آسیب پذیری XSS متداول، اگر فیس بوک این برنامه را گسنرش دهد به سادگی می توان پیش بینی نمود که چنین مشکلاتی دوباره پیش آید.ذکر این نکته هم خالی از لطف نیست که تعدادی از سایت های بزرگ با تعداد زیادی کاربر فیس بوکی مانند Farmville.com یا CNN استعداد بروز چنین مشکلات امنیتی را دارند.به طور خلاصه چنین سیستمی هیچ گاه دارای امنیت کافی نبوده است.

در زیر بیانیه هر کدام از دو شرکت در مورد این مشکل آمده:

Yelp:

ما متوجه یک باگ در برنامه مختص فیس بوک خود شدیم.به سرعت برنامه را تعطیل و از دسترس کابران خارج نموده و به ترمیم حفره پرداخته و نهایتا دوباره آن را زنده ساختیم.هیچ اطلاعاتی از کاربران مورد سرقت واقع نشد.

Facebook:

ما متوجه یک باگ در برنامه Yelp فیس بوک شده و به سرعت نسبت به تعطیل کردن آن  قبل از تهدید کردن کاربران اقدام کردیم. خوشبختانه متخصصان شرکت Yelp به سرعت مشکل را شناسایی کرده و رفع عیب کرده و اکنون این سرویس دوباره در دسترس کاربران فیس بوک قرار دارد.

البته در پایان باید گفت که فیس بوک تعداد قابل توجهی مشکل امنیتی دیگر شامل آسیب پذیری میان دامنه ای (cross-domain)و اسیب پذیری در سرقت اطلاعات خصوصی کاربران در هنگام استفاده از چت هم دارد.

منبع:TECHCRUNCH

دیدگاه خود را وارد کنید
تعداد دیدگاه ها : 8 دیدگاه
  1. سلام
    من در فیس بوک مشکلی دارم و نمی توانم دوستانم را اد کنم و یا پیامی بفرستم؟ لطفامن را راهنمایی کنید؟؟ممنون

    1. سلام دوست عزیز.
      مطمئنا از فیلتر شکن استفاده میکنی .
      اگه از vpn استفاده کنی مشکلت حل میشه .

  2. سلام.چرا من نمیتونم اپلیکیشامو به پروفایلم اضافه کنم؟مثلا میخوام تقویممو بذارم گوشه پروفایلم ولی تو seting میگه فقط میتونم به tab اد کنم بهbox نمیتونم.چرا؟
    ممنون میشم جواب بدید

    1. از vpn باید استفاده کنی نه از فیلتر شکن . امتحان کن !

  3. سلام
    حدود یک ماهی است که صفحه ی home من در فیس بوک فقط مطالبی را که دوستانم share می کنند نمایش می دهد و مطالبی که توسط page هایی که like(fan) آنها شدم share می شود نمایش داده نمی شود . گزینه های edit options را چک کردم و مشکلی ندارد .
    این اتفاق هم بدون اینکه من تنظیمات اکانتم را تغییر بدهم افتاد .
    همچنین وقتی login می شوم در نوار عنوان IE جلوی اسم سایت فیس بوک یک عدد قرار می گیرد . به عنوان مثال Facebook(2).

    مشکل چیست؟

  4. سلام در صفحه اصلي فيسبوك من دكمه home نيست لذا هيچ كس نميتونه عكسامو ببينه چطور دكمه home ايجاد ميسود

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *