این هفته Brave اعلام کرد که نصب افزونه محبوب کروم که L.O.C نام دارد را بلاک می‌کند، زیرا این افزونه داده‌های فیسبوک کاربران را در معرض خطر سرقت احتمالی قرار می‌دهد.

فرانسوا ماریر مهندس امنیت در Brave، در یک پست مشکلات (گیت‌هاب می‌گوید: «اگر کاربری قبلاً وارد فیسبوک شده باشد، نصب این افزونه به طور خودکار به سرور شخص ثالث اجازه دسترسی به بعضی از داده‌های فیسبوک کاربر را می‌دهد. API استفاده شده توسط این افزونه باعث نمی‌شود که فیسبوک قبل از صدور توکن دسترسی به برنامه، درخواست مجوز را به کاربر نشان دهد.»

اما Loc Mai توسعه‌دهنده این افزونه گفت: که افزونه او همان طوری که در سیاست حفظ حریم خصوصی ذکر شده است اطلاعاتی جمع‌آوری نمی‌کند. این افزونه تاکنون حدود 700000 کاربر دارد.

در ادامه Mai توضیح داد که «افزونه داده‌های کاربران را جمع‌آوری نمی‌کند مگر اینکه کاربر به یک کاربر premium تبدیل شود و UID کاربر که برای هر شخص منحصر به فرد است، تنها چیزی است که جمع می‌کند.»

Mai گفت که افزونه توکن را به صورت محلی تحت localStorage.touch. ذخیره می‌کند. این نشان دهنده خطر امنیتی می‌باشد ولی دلیل بر تخلف نیست. L.O.C. از طریق فروشگاه وب کروم هم‌چنان در دسترس خواهد بود.

اما یک توسعه‌دهنده مخرب می‌تواند داده‌های فیسبوک را با استفاده از همین روش دسترسی جمع‌آوری کند زیرا فیسبوک یک توکن plain-text را ارائه می‌دهد که دسترسی بالایی را فراهم می‌کند، طوری که زک ادواردز، محقق امنیتی، نام آن را «حالت خدا» (god mode) می‌گذارد.

god mode

Mai در یک ایمیل به The Register توضیح داد که Graph API فیسبوک برای کار کردن نیازمند به توکن دسترسی کاربر است. برای به دست آوردن آن توکن-به طوری که کاربران افزونه بتوانند پردازش داده‌های فیسبوکشان را به طور خودکار انجام دهند (مانند دانلود پیام‌های خود)-افزونه یک درخواست GET را به Creator Studio برای فیسبوک ارسال می‌کند. این درخواست یک توکن دسترسی به افزونه را برای کاربر وارد شده در فیسبوک برمی‌گرداند و اجازه تعامل برنامه‌ای بیشتر با داده‌های فیسبوک را می‌دهد.

Mai در پاسخ به پست گیت‌هاب barve شرح داده است که «توکن دسترسی در HTML آن صفحه است. هر کاربر فیسبوک واقعاً می‌تواند به

view-source:https://business.facebook.com/creatorstudio/home

برود و توکن دسترسی را در آنجا مشاهده کند.»

ادواردز به The Register گفت: «فیسبوک در سال 2018 با رسوایی تقریباً مشابهی مواجه شد زمانی که 50 میلیون حساب فیسبوک به دلیل افشای توکن حذف شدند. با این حال به نظر می‌رسد فیسبوک این توکن توزیع داده را یک ویژگی می‌داند نه یک اشکال.»

مای یک کپی از ایمیل 9 آوریل 2019 را به The Register ارائه کرد که از که همان نوع دسترسی به داده‌ها را فعال می‌کرد. پاسخ امنیتی فیسبوک این بود: «در این مورد، مسئله‌ای که شما توضیح داده‌اید در واقع فقط عملکرد مورد نظر است و بنابراین واجد شرایط دریافت جایزه نیست.»

ادواردز می‌گوید: «به نظر می‌رسد فیسبوک از سال 2018 درس خود را نگرفته است و هم‌چنان در حال افشای یک توکن plain-text god mode برای هر کاربر است، در صفحه‌ای که توسعه‌دهندگان خاص از آن اطلاع دارند. فیسبوک این ویژگی را یک ویژگی می‌نامد، اما آیا فیسبوک زمانی که اولین توسعه‌دهنده افزونه داده‌های صفحات و کاربران بی‌شماری را جمع‌آوری کرده و دزدیده باشد، اعتراف خواهد کرد که این یک باگ است دقیقاً مثل مشکلات سال ۲۰۱۸؟»

The Register از brave پرسید که آیا قصد دارد در ممنوعیت L.O.C تجدید نظر کند. بر اساس توضیح Mai از آنچه در حال وقوع است. یکی از سخنگویان Brave گفت: «ما در حال کار با نویسنده افزونه روی برخی تغییرات در افزونه هستیم تا بتوان آن را در Brave رفع انسداد کرد.»

افزونه نامناسب هنوز یک مشکل است

ادواردز گفت که شرایط خدمات فیسبوک در اینجا ناکافی است زیرا در حالی که شرکت اصرار دارد مردم از پلتفرم برنامه خود استفاده کنند، اما مانع از استفاده افراد از افزونه‌های مرورگر نمی‌شود و این شکافی که داده‌های کاربر را افشا می‌کند، با نحوه کار در حال حاضر افزونه‌های کروم تشدید می‌شود.

طبق توضیح ادواردز، برنامه‌های افزودنی کروم می‌توانند مجوزهایی را در دامنه‌ای که شما کنترل می‌کنید و دامنه‌ای دیگر که شما کنترل نمی‌کنید درخواست کند، هنگام نصب، یک برگه مرورگر را باز کند که فرصتی را فراهم می‌کند برای استخراج توکن API و session ID ها برای انواع مختلف برنامه‌ها.

ادواردز توضیح داد که «فیسبوک یک مجوز وب قدیمی کدگذاری شده در صفحه creator studio خودش دارد که برای کسی که یکی از این افزونه‌ها را کنترل می‌کند ممکن می‌سازد بدون ثبت‌نام در برنامه توسعه‌دهنده فیسبوک و با استفاده از ویژگی‌هایش، صدها هزار توکن فیسبوک را استخراج کند.»

او افزود: «اساساً، فیسبوک نمی‌تواند یک افزونه را تحریم کند، حتی اگر فیسبوک بداند که افزونه نباید اجازه درخواست مجوز در facebook.com را داشته باشد و اگر تیمشان فکر ‌کند که این افزونه مخرب است.»

The Register از فیسبوک در مورد وضعیت سؤال کرده است و اینکه آیا همان طور که ادواردز پیشنهاد می‌کند، این شرکت قصد دارد تمام توکن‌های به دست آمده از نقطه پایانی Creator Studio خود را باطل کند یا خیر. یکی از سخنگویان meta ایمیلی ارسال کرد و گفت: «ما در حال بررسی این ادعاها هستیم و برای حفظ سیاست‌های خود و حفاظت از اطلاعات افراد، اقدامات لازم را انجام خواهیم داد.»