安全研究人员发现,Facebook存在严重的安全漏 洞,攻击者可以“劫持”Facebook平台的 第三方应用,进而导致用户几乎所有的个人数据失窃。 作为全球最大的社交网站,Facebook在隐私控制、用户安全方面做出的努力一次次地被曝光的安全问题、潜在的数据失窃风险破坏。上个月曝光的漏洞导致用户私人邮箱地址泄露,在此之前Facebook还曾将私人信件发错邮箱。
AKA theharmonyguy的安全研究员乔伊·泰森(Joey Tyson)今天表示,Facebook平台存在严重的安全漏洞,该漏洞允许恶意网站在用户毫不知情的情况下偷偷窃取用户的信息、照片等个人数据,有时候 还会导致邮件失窃。
经确认,该漏洞尚未修复,攻击者可以将第三方Facebook应 用“劫持”,然后偷偷植入恶意软件。乔伊·泰森以Facebook的农场游戏Farmville为例,Farmville应用被植入恶意代码之后,所有安 装了Farmville应用的用户都会面临着数据失窃的风险。泰森表示,之所以用Farmville来举例,是因为这款游戏的用户数量众多,其它第三方应 用都存在同样的安全问题。
泰森表示,幸运的是,目前还没有证据表明这个安全漏洞遭到 滥用。泰森说:“真正的攻击者不太可能利用这一漏洞,而且我没有收到有关此类攻击案例的报告。”不过泰森也警告说,这个漏洞可能已经存在了一年之久。
泰森说:“我对Facebook快速回应安全总是并且对安全报告持开放态度的做法表示赞赏。 但在 我看来,这个漏洞再次提醒我们,Facebook平台会给用户带来很多安全问题。我个人认为,Facebook平台未能达到用户对安全隐私的期望。或许这 个问题会在不久后得以解决,但具体应用中的漏洞和应用读取的本质仍然使用户的隐私数据面临着泄露的风险。” |
