JavaScript lấy dữ liệu người dùng qua tính năng “Đăng nhập bằng Facebook”

Thư viện JavaScrip của nhiều dịch vụ quảng cáo và phân tích đang lấy dữ liệu người dùng từ các trang web có sử dụng tính năng cho phép đăng nhập bằng Facebook.

Các chuyên gia đến từ đại học Princeton phát hiện ra 434 trong số 1 triệu trang đang tải các đoạn mã JavaScripts từ bên thứ 3, có khả năng lấy dữ liệu theo cách này. Họ cũng cho rằng 434 trang này không hề biết chuyện gì đang xảy ra.

Kịch bản thu thập dữ liệu số 1

Nhóm nghiên cứu cho biết việc thu thập dữ liệu diễn ra theo 2 cách. Trường hợp 1 là trên các trang có dùng tính năng “Đăng nhập bằng Facebook” để xác thực người dùng. Khi đăng nhập, tính năng này gửi yêu cầu tới máy chủ Facebook, trả về dữ liệu tài khoản Facebook để cho phép người dùng truy cập trang.

Sơ đồ quy trình thu thập dữ liệu của kịch bản 1
Sơ đồ quy trình thu thập dữ liệu của kịch bản 1

Mã JavaScript của bên thứ 3 tải trên trang sẽ can thiệp vào dữ liệu này và lấy về. Dù một số trang thu thập ID người dùng, nhưng ID này có thể chuyển sang Facebook ID và từ đó dùng để thu thập nhiều thông tin hơn.

Kịch bản thu thập dữ liệu số 2

Kịch bản 2 có phần phức tạp hơn. Nếu trang dùng “Đăng nhập bằng Facebook”, bên thứ 3 có thể nhúng iframe trên các trang khác để lừa trình duyệt của người dùng xác thực bằng cách đăng nhập Facebook của họ. Cũng như trường hợp trước, kịch bản theo dõi của bên thứ 3 cũng can thiệp và lấy dữ liệu Facebook.

Sơ đồ quy trình thu thập dữ liệu của kịch bản 2
Sơ đồ quy trình thu thập dữ liệu của kịch bản 2

“Việc để rò dữ liệu Facebook sang bên thứ 3 không phải do lỗi của tính năng “Đăng nhập bằng Facebook” mà do thiếu các ranh giới bảo mật giữa kịch bản của bên thứ 1 và bên thứ 3 trên web”, các nhà nghiên cứu tại Princeton nói.

“Facebook và các mạng xã hội khác có thể tránh tình trạng này: kiểm duyệt API để xem đơn vị nào truy cập dữ liệu đăng nhập mạng xã hội, ở đâu và như thế nào. Facebook cũng có thể không cho phép xem hồ sơ người dùng và ID Facebook bằng cách app-scope ID người dùng. Có lẽ bây giờ nên cho phép đăng nhập nặc danh (Anonymous Login) bằng Facebook khi họ cũng đã nói vậy 4 năm rồi”, các nhà nghiên cứu nói.

Xem thêm:

Thứ Sáu, 20/04/2018 08:47
51 👨 661
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng