Podle nezávislého bezpečnostního výzkumníka Ashkana Soltaniho opravil start-up Face.com, který nabízí aplikaci pro rozeznávání tváří, slabé místo ve své aplikaci KLIK pro iOS. Chyba mohla ohrozit osobní data uživatelů Facebooku a Twitteru. Soltani byl první, kdo o tomto problému informoval.
KLIK je aplikace, která po připojení k Facebooku dokáže při fotografování v reálném čase rozpoznávat tváře. Technologie byla vyvinuta společností Face.com. Aplikace KLIK je dostupná pro uživatele iPadu a iPhonu se systémem iOS 4.3 a vyšším.
K použití aplikace je třeba povolit KLIKu přístup k účtu na Facebook nebo Twitterem. Zranitelné místo v aplikaci umožnilo přistupovat i k cizím účtům.
Chyba v zabezpečení byla způsobena tím, že Face.com ukládal OAuth tokeny - unikátní autorizační klíče Facebooku a Twitteru na svých servech bez patřičného zabezpečení. Ty pak byly přístupné každému, uvedl Soltani.
S přístupem k OAuth tokenům mohou útočníci zneužít oprávnění aplikace, to znamená, že mají přístup k soukromým fotografiím, k seznamu přátel a mohou uveřejňovat statusy nebo tweety.
Protože chyba se týkala technologie na rozeznávání tváří, důsledky mohly být podle Soltaniho velmi závažné. Útočník by mohl napadnout například účet slavné osobnosti, která má na Facebooku miliony přátel, stáhnout si jejich fotografie a pak je spojit v reálném čase s lidmi pocházejícími po ulici.
„Protože to byla chyba, která mohla potenciálně odhalit citlivé informace uživatelů, spolupracoval jsem s Face.com, Facebookem a Twitterem, abychom se ujistili, že jsou veškeré problémy vyřešeny,” řekl Soltani. „Chyba je opravena. Žádní uživatelé nebyli postiženi a žádné osobní informace nebyly ukradeny,” uvedl tiskový mluvčí společnosti Face.com.
PŘEDPLATNÉ
ČLÁNKY DO MAILU