Brave chặn tiện ích mở rộng Chrome L.O.C do vi phạm dữ liệu Facebook

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
85
553 bài viết
Brave chặn tiện ích mở rộng Chrome L.O.C do vi phạm dữ liệu Facebook
WhiteHat Team

Việc cấm sử dụng tiện ích mở rộng Chrome của Brave cho thấy nguy cơ lạm dụng API tiềm ẩn tại Meta.

Brave cho biết họ đang chặn cài đặt một tiện ích mở rộng Chrome có tên là L.O.C vì lý do tiện ích này có khả năng đánh cắp dữ liệu Facebook của người dùng.

Francois Marier, chuyên gia an ninh mạng tại Brave, giải thích trong một bài đăng trên GitHub Issues: “Nếu người dùng đã đăng nhập vào Facebook, việc cài đặt tiện ích mở rộng này sẽ tự động cấp quyền truy cập vào một số dữ liệu Facebook cho máy chủ bên thứ ba. API được sử dụng bởi tiện ích mở rộng không làm cho Facebook hiển thị lời nhắc cấp quyền cho người dùng trước khi mã thông báo truy cập của ứng dụng được phát hành”.

google-chrome-generic-hero-pinwheel.png

Tuy nhiên, nhà phát triển tiện ích mở rộng này, Loc Mai cho biết anh ấy không thu thập thông tin như trong chính sách quyền riêng tư của phần mở rộng đã nêu. Và L.O.C hiện có khoảng 700.000 người dùng. Tiện ích mở rộng không thu thập dữ liệu của người dùng trừ khi họ nâng cấp thành người dùng Premium và thứ duy nhất L.O.C thu thập là UID.

Mai cho biết tiện ích mở rộng lưu trữ mã thông báo cục bộ localStorage.touch, tiềm ẩn rủi ro an ninh mạng nhưng không có dấu hiệu vi phạm. L.O.C tiếp tục “hiện diện” trên cửa hàng Chrome trực tuyến.

Tuy nhiên, một kẻ phát triển mã độc có thể thu thập dữ liệu Facebook bằng cách sử dụng cùng một phương pháp truy cập, bởi Facebook đang để lộ một mã thông báo văn bản thuần túy mà chuyên gia an ninh mạng Zach Edwards mô tả là "chế độ GOD".

Chế độ GOD

Trong một email gửi đến The Register, Mai giải thích Biểu đồ API của Facebook yêu cầu mã thông báo truy cập của người dùng để hoạt động. Để có được mã thông báo này, người dùng tiện ích mở rộng có thể tự động xử lý dữ liệu Facebook của riêng họ, chẳng hạn như tải tin nhắn xuống - tiện ích mở rộng sẽ gửi yêu cầu GET tới Creator Studio của Facebook. Yêu cầu sẽ trả về mã thông báo truy cập vào tiện ích mở rộng cho người dùng Facebook đã đăng nhập, cho phép các tương tác có lập trình thêm với dữ liệu Facebook.

github.png

Mai đã giải thích chi tiết về điều trên trong bài đăng trên GitHub của Brave. "Mã thông báo truy cập nằm trong HTML của trang đó. Bất kỳ người dùng Facebook nào cũng có thể xem nguồn: https://business.facebook.com/creatorstudio/home và xem mã thông báo truy cập”.

Một bản sao email ngày 9 tháng 4 năm 2019 đã được Mai cung cấp mã thông báo ở một endpoint khác cho phép cùng truy cập dữ liệu. Phản hồi từ bộ phận an ninh của Facebook là: "Trong trường hợp này, vấn đề bạn đã mô tả thực sự chỉ là chức năng dự kiến và do đó không đủ điều kiện để nhận tiền thưởng".

Mai phát triển tiện ích mở rộng này để giúp những người đang nghĩ đến việc bỏ Facebook. Tiện ích mở rộng L.O.C có hơn 700.000 người dùng, cho phép mọi người tải xuống các cuộc trò chuyện trên Facebook, thay đổi cài đặt quyền riêng tư của bài đăng, tìm và xóa bạn bè và các chức năng khác.

Do vậy Mai đã bị Facebook “cấm cửa” và hãng đã liên hệ với anh để cáo buộc việc chuyển hoặc chia sẻ dữ liệu người dùng mà chưa có sự đồng ý. Tuy nhiên Mai phủ nhận: “Tôi chưa bao giờ làm điều này”, cũng chưa mua/bán hoặc trao đổi các đặc quyền của trang web như lượt thích, lượt chia sẻ, lượt tương tác trên Facebook và Instagram.

Tuy nhiên, Mai nói sẽ xem xét việc xóa tiện ích mở rộng "nếu Facebook có sự đối xử hợp lý với tài khoản Facebook và tài khoản Instagram của anh, và nếu họ cung cấp cho được lý do vì sao tiện ích mở rộng trên Chrome lại gây hại cho người dùng”.

Người phát ngôn của Brave cho biết họ đang làm việc với Mai về một số thay đổi đối với tiện ích mở rộng để có thể được bỏ chặn trong Brave.

Tiện ích mở rộng Chrome có thể yêu cầu quyền trên một miền mà bạn kiểm soát và trên một miền khác mà bạn không kiểm soát, sau đó mở tab trình duyệt khi cài đặt, tạo cơ hội lấy mã thông báo API và phiên ID cho nhiều loại ứng dụng khác nhau.

Hiện tại, Google không muốn thừa nhận Cửa hàng ứng dụng Chrome đang quá tải với việc các nhà phát triển yêu cầu quyền trên hai miền, một miền mà họ kiểm soát và một miền họ không. Đây là cách để dừng lại, hoặc Google công khai thừa nhận để họ có thể giải thích bất kỳ bản sửa lỗi nào trong tương lai nhằm ngăn chặn những sự cố này.

Giữa phạm vi của quyền tiện ích mở rộng Chrome và quyết định gây hoang mang của Facebook khi giữ mã thông báo "chế độ GOD" này được nhúng trên một trang trong nhiều năm sau khi được cảnh báo về vấn đề, thì việc đánh cắp dữ liệu sẽ biến thành một cơn bão.

Cập nhật thêm

Sau khi câu chuyện này được công bố, đại diện phát ngôn của Meta đã gửi email cho biết: "Chúng tôi đang xem xét những tuyên bố này và sẽ đưa ra động thái thích hợp để duy trì các chính sách và bảo vệ thông tin của người dùng".

Theo Theregister
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng mới của Microsoft Exchange bị khai thác dưới dạng zero-day
  • Công bố PoC cho lỗ hổng thực thi mã từ xa trong máy chủ Microsoft Exchange
  • Lỗ hổng CVE-2023-24329 trong Python cho phép tin tặc vượt qua danh sách chặn
  • Hacker lại khai thác Microsoft Exchange để tấn công máy chủ
  • Trình duyệt Brave bị mạo danh phát tán mã độc qua Google Ads
  • Lỗ hổng trong trình duyệt Brave tiết lộ lịch sử duyệt web đen của người dùng
    • Thẻ
    chrome l.o.c facebook
    Bên trên