新浪科技訊 北京時間9月18日上午消息,Facebook平臺上的第三方應用可訪問用戶數據,但這些應用近期被發現諸多漏洞。隨著相關批評越來越多,Facebook近日宣佈,將其漏洞賞金項目(bug bounty program)擴大至第三方應用範圍。
Facebook如今將向報告用戶訪問令牌(user access tokens)內漏洞的開發人員提供獎勵。所謂用戶訪問令牌,即允許用戶通過登錄Facebook直接註冊/登錄第三方應用的功能。假如這個訪問令牌落入黑客手中,他們可以未經同意獲取用戶數據。
在報告中,研究人員須提交概念驗證,來說明該漏洞如何可以允許黑客訪問或濫用用戶數據。Facebook將為報告提供至少500美元的獎勵,並且只關注擁有至少5萬活躍用戶的應用上發現的漏洞。
在宣佈這一變更的博客文章裡,安全工程師丹·葛芬科(Dan Gurfinkel)說,Facebook將只考慮這些報告:“在使用有漏洞應用和網站時,通過被動查看發送至您的設備或從您設備發出的數據時發現的漏洞”。因此,研究人員無法創建一個開放的重定向,比如,來繞過身份驗證要求。
“如果暴露,基於用於設置的權限,訪問令牌極有可能被濫用,”葛芬科寫道,“我們希望給研究人員提供一個明確的渠道來報告這些重要的問題,我們也希望進我們最大的努力去保護人們的信息,即使問題源不在我們的直接掌控之下。”
通常,第三方應用漏洞均不在大型科技公司的賞金漏洞報告的範圍之內。但是Facebook仍在艱難處理用戶的反對情緒,因為多年來公司一直允許第三方應用訪問大量用戶數據且基本上沒有任何監督,其中一些應用甚至以允許其他人訪問這些數據,違反Facebook的開發者政策,最顯著的例子就是“劍橋分析”(Cambridge Analytica)數據洩露事件。
最近幾個月,一些應用如Bumble和Coffee Meet Bagel等,也向用戶提供了Facebook身份驗證之外的其他登錄選項——以回應他們所說的用戶對使用Facebook登錄越來越不放心一事。因此,Facebook必須對第三方應用予以監管以重新獲得用戶信任。
Facebook最近也推出了修訂的應用審查流程,旨在清理訪問超出其本身所需的用戶數據的第三方應用。(小白)
閱讀更多 經理人智庫 的文章
