Mis à jour Brave a déclaré cette semaine qu’il bloquait l’installation d’une extension Chrome populaire appelée LOC car elle expose les données Facebook des utilisateurs à un vol potentiel.
« Si un utilisateur est déjà connecté à Facebook, l’installation de cette extension accordera automatiquement à un serveur tiers l’accès à certaines des données Facebook de l’utilisateur », a expliqué François Marier, ingénieur en sécurité chez Brave, dans un article sur les problèmes de GitHub. « L’API utilisée par l’extension n’oblige pas Facebook à afficher une invite d’autorisation à l’utilisateur avant que le jeton d’accès de l’application ne soit émis. »
Cependant, le développeur de l’extension, Loc Mai, a déclaré Le registre que son extension ne collecte pas d’informations – comme l’indique la politique de confidentialité de l’extension. L’extension compte actuellement environ 700 000 utilisateurs.
« L’extension ne collecte pas les données de l’utilisateur à moins que l’utilisateur ne devienne un utilisateur Premium, et la seule chose qu’elle collecte est l’UID – qui est unique pour chaque personne », a expliqué Mai.
Mai a déclaré que l’extension stocke le jeton localement, sous localStorage.touch
. qui présente un risque de sécurité mais n’est pas révélateur d’actes répréhensibles. Le LOC continue à être disponible via le Chrome Web Store.
Cependant, un développeur malveillant pourrait récolter des données Facebook en utilisant la même méthode d’accès, car Facebook expose un jeton en texte brut qui accorde ce que le chercheur en sécurité Zach Edwards décrit comme « mode dieu ».
Mode Dieu
Dans un courriel à Le registre, Mai a expliqué que l’API Graph de Facebook nécessite le jeton d’accès d’un utilisateur pour fonctionner. Pour obtenir ce jeton – afin que les utilisateurs de l’extension puissent automatiser le traitement de leurs propres données Facebook, comme le téléchargement de leurs messages – l’extension envoie une requête GET à Creator Studio pour Facebook. La demande renvoie un jeton d’accès à l’extension pour l’utilisateur Facebook connecté, permettant d’autres interactions programmatiques avec les données Facebook.
Mai a expliqué cela en réponse au message GitHub de Brave. « Le jeton d’accès se trouve dans le code HTML de cette page. Tout utilisateur de Facebook peut simplement accéder à view-source:https://business.facebook.com/creatorstudio/home
et affichez le jeton d’accès ici. »
Edwards a dit Le registre« Facebook a fait face à un scandale presque identique en 2018 lorsque 50 millions de comptes Facebook ont été supprimés en raison de une exposition symbolique. » Et pourtant, Facebook semble considérer ce jeton de distribution de données comme une fonctionnalité, pas comme un bug.
Mai a fourni Le registre avec une copie de l’e-mail du 9 avril 2019 qu’il a utilisé pour signaler un problème de divulgation de jeton à un point final différent qui permettaient le même type d’accès aux données. La réponse de la sécurité de Facebook a été : « Dans ce cas, le problème que vous avez décrit n’est en fait qu’une fonctionnalité prévue et ne donne donc pas droit à une prime. »
« Facebook ne semble pas avoir retenu la leçon de 2018 et expose toujours un jeton de mode divin en texte brut pour chaque utilisateur, sur une page de niche que des développeurs spécifiques connaissent », a déclaré Edwards. « Facebook appelle cela une fonctionnalité, mais lorsque le premier développeur d’extensions récupère et vole des données d’innombrables pages et utilisateurs, est-ce que ce sera à ce moment-là que Facebook admettra finalement qu’il s’agit d’un bogue, tout comme les problèmes de 2018 ? »
Le registre a interrogé Facebook sur la situation et si, comme le suggère Edwards, la société avait l’intention de révoquer tous les jetons obtenus à partir de son point de terminaison Creator Studio. Nous n’avons pas eu de réponse.
Mai a déclaré qu’il avait fait l’extension pour aider des amis qui envisageaient de quitter Facebook. L’extension LOC, qui compte plus de 700 000 utilisateurs, permet aux utilisateurs de télécharger leurs conversations Facebook, de modifier leurs paramètres de confidentialité, de rechercher et de supprimer des amis et d’autres fonctions.
Mai a déclaré qu’il avait été banni de Facebook et a ajouté que la société l’avait contacté pour l’accuser de transférer ou de partager des données d’utilisateurs sans consentement – « Je n’ai jamais fait cela » – et d’acheter, de vendre ou d’échanger des privilèges de site tels que des likes, des partages. , et d’autres aspects de l’engagement suivis par Facebook et Instagram – ce qu’il a également nié.
Cependant, a-t-il dit, il envisagerait de supprimer son extension « si Facebook était plus raisonnable avec mon compte Facebook et mon compte Instagram et s’ils me fournissaient de meilleures raisons pour lesquelles mon extension est nuisible pour les autres ».
Le registre a demandé à Brave s’il avait l’intention de reconsidérer son interdiction de LOC sur la base de l’explication de Mai sur ce qui se passait. Un porte-parole de Brave a déclaré: « Nous travaillons avec l’auteur de l’extension sur certaines modifications de l’extension afin qu’elle puisse être débloquée dans Brave. ».
Les extensions inappropriées restent un problème
Edwards a déclaré que les conditions d’utilisation de Facebook étaient insuffisantes ici, car même si l’entreprise insiste sur le fait que les gens utilisent sa plateforme d’applicationscela n’empêche pas les utilisateurs d’utiliser des extensions de navigateur.
Et cet écart qui expose les données des utilisateurs est aggravé par le fonctionnement actuel des extensions Chrome. Comme Edwards le décrit, les extensions Chrome peuvent demander des autorisations sur un domaine que vous contrôlez et sur un autre que vous ne contrôlez pas, puis ouvrir un onglet de navigateur lors de l’installation, ce qui crée une opportunité de récupérer des jetons d’API et des identifiants de session pour différents types d’applications.
« Il se trouve que Facebook a une autorisation Web héritée codée en dur dans une page de leur » studio de création « qu’ils ont construit, ce qui permet à quelqu’un qui contrôle l’une de ces extensions de gratter des centaines de milliers de jetons Facebook, sans jamais s’inscrire au programme de développement Facebook et en utilisant les fonctionnalités de partage d’application/dev Facebook correctes/natives », a expliqué Edwards.
« Fondamentalement, Facebook ne peut pas » interdire « une extension, même si Facebook sait que l’extension ne devrait pas être autorisée à demander des autorisations sur facebook.com et que sa propre équipe pense que c’est malveillant », a-t-il ajouté.
« Et actuellement, Google ne veut pas reconnaître que le [Chrome App Store] est envahi par des développeurs demandant des autorisations sur deux domaines, un qu’ils contrôlent et un qu’ils ne contrôlent pas. C’est la pratique qui doit juste s’arrêter aussi vite que possible ou être reconnue publiquement par Google afin qu’ils puissent expliquer les futurs correctifs pour éviter ces problèmes. »
Edwards a déclaré qu’entre la vaste portée des autorisations d’extension Chrome et la décision déconcertante de Facebook de conserver ce jeton « en mode divin » intégré sur une page pendant des années après avoir été alerté du problème, c’est une tempête parfaite pour le vol de données. ®
Mis à jour pour ajouter
Après la publication de cette histoire, un porte-parole de Meta a envoyé un e-mail pour dire : « Nous examinons ces allégations et prendrons les mesures appropriées pour respecter nos politiques et protéger les informations des personnes. »