Un ingegnere di Brave ha svelato un possibile problema di sicurezza con un’estensione pubblicata sul Chrome Web Store. Anche se L.O.C. è stata sviluppata per altri scopi, un malintenzionato potrebbe sfruttare lo stesso metodo di accesso per effettuare lo scraping dei dati degli utenti su Facebook. La software house californiana ha deciso di bloccare l’installazione dell’estensione.
È una feature, non un bug
L.O.C. permette di eseguire una serie di operazioni su Facebook, come la modifica rapida delle privacy dei post, il download dei messaggi e la rimozione degli amici. Se l’utente è già connesso al social network, l’estensione concede automaticamente a server di terze parti il permesso di accesso ad alcuni dati. Questo perché le API usate non causano la visualizzazione della richiesta prima della creazione del token.
Lo sviluppatore dell’estensione ha dichiarato che L.O.C. non raccoglie i dati degli utenti. Sono la versione Premium registra il loro UID (identificatore utente) per attivare le funzionalità aggiuntive. Il token di accesso viene generato con una richiesta GET al Creator Studio di Facebook. Il token viene memorizzato nel browser, ma può essere letto in chiaro nel codice HTML della pagina https://business.facebook.com/creatorstudio/home.
Lo sviluppatore aveva segnalato il problema a Facebook. L’azienda di Menlo Park ha risposto che si tratta di una funzionalità, non di un bug. Un simile metodo potrebbe essere utilizzato per effettuare lo scraping dei dati degli utenti, come già avvenuto nel 2018.
Facebook ha bannato lo sviluppatore, accusandolo di trasferire dati senza il consenso degli utenti. L’estensione è ancora presente sul Chrome Web Store. Brave ha invece deciso di bloccare l’estensione, almeno fino a quando non verranno apportate le necessarie modifiche.
Ti potrebbe interessare
14 feb 2022