Videnskab
 science >> Videnskab >  >> Elektronik

Princetons tech-watchers skinner skarpt lys på websporing, dataslurping

Toppanel:Bandsintowns websted (repræsenteret som tracker.com) giver besøgende mulighed for at lære om lokale koncerter og følge kunstnere, de måske er interesserede i. For at følge en kunstner, brugere skal logge ind med Facebook og give Bandsintown Facebook-appen adgang til deres profil, by, kan lide, email adresse, og musikaktivitet. På dette tidspunkt har Bandsintown adgang til de nødvendige godkendelsestokener for at få adgang til Facebook -kontooplysninger. Bundpanel:Bandsintown tilbyder en reklametjeneste kaldet "Amplified", som findes på mange af de bedste musikrelaterede websteder, herunder lyrics.com, songlyrics.com og lyricsmania.com. Når en Bandsintown-bruger browser til et websted, der integrerer Bandsintowns Amplified-annonceringsprodukt, reklamescriptet indlejrer en usynlig iframe, som forbinder til Bandsintowns Facebook-applikation ved hjælp af de tidligere etablerede godkendelsestokens, og griber brugerens Facebook-id. Iframen sender derefter bruger-id'et tilbage til indlejringsscriptet. Kredit:Frihed til at tænke

Skjulte online trackere er næppe sikre i deres gemmested, ikke efter denne uges overskrifter for historier om, hvordan Facebook-brugeroplysninger kan nappes. Oplysningerne kan fås på forskellige websteder, der understøtter log-in via den sociale platform.

Mange websteder tilbyder "login med Facebook", men forskere ved Princeton University finder noget at bekymre sig om her. Business Insider , et af de mange steder, der tager et kig på Princeton-forskernes resultater, forklaret, hvordan "trackere kan høste brugerdata som profilbillede, navn, email adresse, alder, og køn - sandsynligvis meget mere end folk har til hensigt at give væk, når de logger ind på websteder, der bruger Facebook. "

Går tilbage til udgangspunktet, det var sikkerhedsforskerne hos Freedom to Tinker, hvis resultater fangede tech-watchers opmærksomhed.

Frihed til at tænke er vært for Princetons Center for Informationsteknologipolitik; den ser på digitale teknologier i det offentlige liv. Tredjeparts trackere misbruger Facebook-login, rapporterede de onsdag. Der er ingen måde at sukkerbelægge det på; indlægget kaldte det "hemmelig dataindsamling af tredjeparts scripts."

Resultatet er eksfiltrering af personlige identifikatorer fra websteder gennem "login med Facebook" og andre sådanne sociale login-API'er.

Ifølge Frihed til at tænke , de kan ikke sige, hvordan sporerne bruger de oplysninger, de indsamler, men de kunne undersøge deres markedsføringsmateriale for at forstå, hvordan det kan bruges – f.eks. indsamler data for at hjælpe udgivere med bedre at tjene penge på deres brugere.

Forskerne diskuterede typer begivenheder. Forskerne identificerede syv tredjeparter, der havde adgang til Facebook-brugerdata, og de fandt en tredjepart, der bruger sin egen Facebook "applikation" til at spore brugere rundt på nettet.

Frihed til at tænke 's indlæg erklærede, at "Denne utilsigtede eksponering af Facebook-data til tredjeparter skyldes ikke en fejl i Facebooks login-funktion. Snarere, det skyldes manglen på sikkerhedsgrænser mellem førsteparts- og tredjepartsscripts i dagens web."

Skriver ind TechCrunch , Josh Constine mente, at "Facebook kunne have identificeret disse trackere og forhindret disse udnyttelser med tilstrækkelig API-revision."

Tag ikke fejl, selvom, spørgsmålet om at spore brugere uden deres direkte samtykke eller endda viden er et problem, der ikke kun hviler på Facebook, som flere observatører påpegede i deres kommentarer til Princeton-holdets resultater. Også, forskerne havde begrænsede undersøgelser til Facebook-login, fordi det var det mest udbredte sociale SDK på nettet – ikke fordi det er det eneste, der involverer dette bredere spørgsmål om sporing.

Som anført i Frihed til at tænke , "I dette indlæg fokuserer vi på websteder, der bruger Facebook-login, men de sårbarheder, vi beskriver, eksisterer sandsynligvis for de fleste sociale login-udbydere og på mobile enheder."

TechCrunch :Der er andre teknologigiganter, der er afhængige af brugerdata, og de driver udviklerplatforme, som kan være svære at overvåge.

"Zuckerberg gør et let mål, fordi Facebook-grundlæggeren stadig er administrerende direktør, tillod kritikere og tilsynsmyndigheder at bebrejde ham for det sociale netværks fejl. Men ethvert firma, der spiller hurtigt og løst med brugerdata, bør svede. "

Princeton havde nogle anbefalinger til fremtidige måder at håndtere spørgsmål om privatlivets fred. "Stadig, der er trin, Facebook og andre sociale login-udbydere kan tage for at forhindre misbrug:API-brug kan revideres for at se, hvordan, hvor, og hvilke parter der tilgår sociale login-data. Facebook kunne også forbyde opslag af profilbilleder og globale Facebook-id'er efter app-omfattede bruger-id'er. Det kan også være det rigtige tidspunkt at gøre anonymt login med Facebook tilgængeligt efter dets meddelelse for fire år siden."

Hvad siger Facebook om rapporter om, at brugere bliver sporet? Constine rapporterede, at "Facebook bekræfter TechCrunch at det undersøger en sikkerhedsundersøgelsesrapport, der viser, at Facebook-brugerdata kan gribes af tredjeparts JavaScript-trackere, der er indlejret på websteder, der bruger Login With Facebook."

Constine fortsatte med at sige, at en "Facebook -talsmand nu fortæller os, at skrotning af Facebook -brugerdata er i strid med vores politikker. Mens vi undersøger dette problem, vi har truffet øjeblikkelig handling ved at suspendere muligheden for at linke unikke bruger-id'er for specifikke applikationer til individuelle Facebook-profilsider, og arbejder på at indføre yderligere godkendelse og hastighedsbegrænsning for Facebook -loginprofilbillede. '"

© 2018 Tech Xplore




Varme artikler