Översta panelen:Bandsintowns webbplats (representerad som tracker.com) låter besökare lära sig om lokala konserter och följa artister som de kan vara intresserade av. För att följa en artist, användare måste logga in med Facebook och ge Bandsintown Facebook-appen tillgång till sin profil, stad, gillar, e-postadress, och musikverksamhet. Vid det här laget har Bandsintown tillgång till nödvändiga autentiseringstokens för att komma åt Facebook-kontoinformation. Nedre panel:Bandsintown erbjuder en reklamtjänst som heter "Amplified", som finns på många av de bästa musikrelaterade webbplatserna inklusive lyrics.com, songlyrics.com och lyricsmania.com. När en Bandsintown-användare surfar till en webbplats som bäddar in Bandsintowns Amplified-reklamprodukt, reklamskriptet bäddar in en osynlig iframe som ansluter till Bandsintowns Facebook-applikation med de autentiseringstokens som etablerats tidigare, och tar tag i användarens Facebook-ID. Iframe skickar sedan användar-ID tillbaka till inbäddningsskriptet. Kredit:Freedom to Tinker
Dolda onlinespårare är knappast säkra i sina gömställen, inte efter veckans rubriker för berättelser om hur Facebook-användarinformation kan fångas. Informationen kan erhållas på olika webbplatser som stödjer inloggning via den sociala plattformen.
Många webbplatser erbjuder "logga in med Facebook" men Princeton University-forskare hittar något att oroa sig för här. Business Insider , en av de många webbplatserna som tar en titt på Princeton-forskarnas resultat, förklarade hur "spårare kan samla in användardata som profilbild, namn, e-postadress, ålder, och kön – förmodligen mycket mer än vad folk tänker ge bort när de loggar in på webbplatser med Facebook."
Gå tillbaka till ruta ett, det var säkerhetsforskarna på Freedom to Tinker vars resultat fångade teknikbevakarnas uppmärksamhet.
Freedom to Tinker är värd av Princetons Center for Information Technology Policy; den tittar på digital teknik i det offentliga livet. Tredjepartsspårare missbrukar Facebook-inloggningen, rapporterade de i onsdags. Det finns inget sätt att sockerbelägga det; inlägget kallade det "smyg datainsamling av tredje parts skript."
Resultatet är exfiltrering av personliga identifierare från webbplatser genom "logga in med Facebook" och andra sådana sociala inloggnings-API:er.
Enligt Freedom to Tinker , de kan inte säga hur spårarna använder informationen de samlar in, men de kan undersöka sitt marknadsföringsmaterial för att förstå hur det kan användas – till exempel, samla in data för att hjälpa utgivare att bättre tjäna pengar på sina användare.
Forskarna diskuterade typer av händelser. Forskarna identifierade sju tredje parter som fick åtkomst till Facebooks användardata, och de hittade en tredje part som använder sin egen Facebook-applikation för att spåra användare på webben.
Freedom to Tinker I sitt inlägg stod det att "Denna oavsiktliga exponeringen av Facebook-data för tredje part beror inte på en bugg i Facebooks inloggningsfunktion. Snarare, det beror på bristen på säkerhetsgränser mellan förstaparts- och tredjepartsskript i dagens webb."
Skriver in TechCrunch , Josh Constine tyckte att "Facebook kunde ha identifierat dessa spårare och förhindrat dessa utnyttjande med tillräcklig API-revision."
Gör inga misstag, fastän, Frågan om att spåra användare utan deras direkta samtycke eller ens vetskap är en fråga som inte bara vilar på Facebook, som flera observatörer påpekade i sina kommentarer om Princeton-teamets resultat. Också, forskarna hade begränsade undersökningar till Facebook-inloggning eftersom det var den mest använda sociala SDK på webben – inte för att det är den enda som involverar denna bredare fråga om spårning.
Som det står i Freedom to Tinker , "I det här inlägget fokuserar vi på webbplatser som använder Facebook-inloggning, men de sårbarheter vi beskriver finns sannolikt för de flesta leverantörer av sociala inloggningar och på mobila enheter."
TechCrunch :Det finns andra teknikjättar som förlitar sig på användardata och de driver utvecklarplattformar som kan vara svåra att bevaka.
"Zuckerberg gör ett enkelt mål eftersom Facebooks grundare fortfarande är VD, låter kritiker och tillsynsmyndigheter skylla honom för det sociala nätverkets misslyckanden. Men alla företag som spelar snabbt och löst med användardata borde svettas."
Princeton hade några rekommendationer att göra för framtida sätt att hantera frågor om integritet. "Fortfarande, det finns steg som Facebook och andra sociala inloggningsleverantörer kan vidta för att förhindra missbruk:API-användning kan granskas för att granska hur, var, och vilka parter som har åtkomst till sociala inloggningsdata. Facebook kan också förbjuda sökning av profilbild och globala Facebook-ID:n med app-omfattade användar-ID:n. Det kan också vara rätt tillfälle att göra Anonymous Login med Facebook tillgänglig efter tillkännagivandet för fyra år sedan."
Vad säger Facebook om rapporter om att användare spåras? Constine rapporterade att "Facebook bekräftar att TechCrunch att det undersöker en säkerhetsforskningsrapport som visar att Facebook-användardata kan gripas av tredjeparts JavaScript-spårare inbäddade på webbplatser som använder Login With Facebook."
Constine fortsatte med att säga att en "Facebook-talesman nu säger till oss" Att skrapa Facebook-användardata är ett direkt brott mot vår policy. Medan vi undersöker det här problemet, vi har vidtagit omedelbara åtgärder genom att stänga av möjligheten att länka unika användar-ID:n för specifika applikationer till enskilda Facebook-profilsidor, och arbetar med att införa ytterligare autentisering och hastighetsbegränsning för Facebook-inloggningsprofilbildsbegäranden.'"
© 2018 Tech Xplore
