Flash může krást data z Facebooku a MySpace

20. 11. 2009

Sdílet

Holandský vývojář Yvo Schaap tvrdí, že kódy sociálních sítí jsou natolik plné chyb, že útočníci nemají problém získat prakticky libovolná data, která sem uživatelé nahrají.

Jeden z aktuálních problémů je v tom, jak aplikace reagují na žádosti z jiné domény. MySpace i Facebook žádosti z cizích domén o data odmítají, ovšem kromě jiných domén, které patří jim samým (u MySpace jde například o farm.sproutbuilder.com). Schaap uvádí, že právě zde je problém: podvodník může do této domény nahrát flashový soubor, který pak bude nepozorovaně krást data přímo z Facebooku. Zranitelní mají být především uživatelé, kteří mají zapnuté automatické přihlašování. Stačí pak, aby oběť klikla na zaslaný odkaz, který vede na příslušnou flashovou animaci.

Mluvčí MySpace pro americký Computerworld problém připustila a slíbila nápravu, nicméně tvrdí, že tímto způsobem se lze stejně dostat jen k datům, která uživatel nastavil jako volně přístupná. Zranitelnost uznal i Facebook, nicméně podle provozovatele není žádná indicie, že by se někdo pokusil o zneužití chyby. K opravě by mělo stačit změnit seznam vzájemně povolených domén.