Jabuk
Facebook prijava za 3rd party aplikacije varnostna luknja?
Stevie Wozniak

Stevie Wozniak

Pridružen/a: 06.04.2013
Prispevkov: 1249
Moški

Poglej uporabnikov profil
Prispevek: #1   Objavljeno 09.01.2019 19:08:33
Facebook prijava za 3rd party aplikacije varnostna luknja?
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
Nedolgo nazaj sem nekje bral, da aplikacije in igre lahko izkoriščajo Facebookov API, ki omogoča prijavo s pomočjo Facebook računa, kot luknjo, preko katere pošiljajo podatke iz take aplikacije/igre Facebooku - ne glede na to, če uporabiš to prijavo oz. si sploh prijavljen, ali pa celo namenoma, da pošiljajo občasno na FB podatke (katerekoli že).

Velja to tudi za iOS ali samo za Android? Ker če je to tako, potem ne velja več tisto "every app is an island". Sem pa opazil, da imajo to različno urejeno - eni odprejo v fb appu prijavo, ki jo samo požegnaš, drugi pa v browserju znotraj appa prijavno spletno stran, kjer moraš vnesti FB podatke.
Stevie Jabuk

Stevie Jabuk

Pridružen/a: 18.01.2012
Prispevkov: 426
Moški

Poglej uporabnikov profil
Prispevek: #2   Objavljeno 09.01.2019 19:12:16
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
Če hočejo lahko podatke pošiljajo komur hočejo (Facebooku ali pa tvojemu serverju v kleti).

Facebook API je potreben, če želijo podatke prejeti od Facebooka. Brez, da ti odobriš tak dostop tvojih podatkov načeloma ne morejo dobiti. Kako tak dostop odobriš (preko FB app ali pa preko browserja je irelevantno; je samo vprašanje UX).

_________________
Mastercard kartica Curve
Uporabi kodo PPSAT (https://www.curve.app/join#PPSAT), ter sebi malo skrajšaj čakalno vrsto (in obema pridobi 5 funtov dobroimetja).
Stevie Wozniak

Stevie Wozniak

Pridružen/a: 06.04.2013
Prispevkov: 1249
Moški

Poglej uporabnikov profil
Prispevek: #3   Objavljeno 09.01.2019 19:16:31
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
Sergei je napisal/a:
Če hočejo lahko podatke pošiljajo komur hočejo (Facebooku ali pa tvojemu serverju v kleti).

Že že, ampak v tem primeru naj bi bila, če sem prav razumel, možna na strani FB enoznačna identifikacija userja (če imaš FB app na napravi) ne glede na to, ali je prijavljen v 3rd party appu preko FB logina ali ne. Skratka da app, ki to podpira, kljub neuporabi FBju pošilja podatke.
Stevie Jabuk

Stevie Jabuk

Pridružen/a: 20.02.2010
Prispevkov: 332
Ni navedeno

Poglej uporabnikov profil
Prispevek: #4   Objavljeno 09.01.2019 19:41:39
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
To niso krive same aplikacije, ampak Facebook, ki izkorišča svoj položaj. S pomočjo "advertising identifier"-ja ti lahko sledi, katere aplikacije poganjaš, ki imajo vgrajen Facebook SDK. Tako nato oni točno vejo kdaj si pognal katero aplikacijo, ko pa se enkrat v eni aplikaciji prijaviš, pa povežejo vse skupaj z računom, če ne ugotovijo že prej na drugačen način.

Saj se podobno dogaja tudi na webu. Facebook je vgrajen v skoraj vse spletne strani kot vtičnik za deljenje na socialnih omrežjih. S tem pa seveda oni tebi sledijo kaj vse gledaš in ti nato rinejo reklame.

Na Android sem pa slišal da so stvari še veliko hujše.

Na iOS lahko v sistemskih nastavitvah nastaviš Limit Ad Tracking (Settings > Privacy > Advertising), ki naj bi aplikacijam onemogočal prebiranje tega identifierja (IDFA). Do pred kratkim se je nastavitev vsake toliko samodejno izklopila (vsaj vizuelno), sedaj pa vidim da so to popravili.
Stevie Wozniak

Stevie Wozniak

Pridružen/a: 06.04.2013
Prispevkov: 1249
Moški

Poglej uporabnikov profil
Prispevek: #5   Objavljeno 09.01.2019 20:11:44
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
A pa ni bilo receno, da je tale advertising indentifier v uporabi samo za tiste drzave, kjer Apple to ponuja, in da med njimi ni Slovenije?

Kje pa FB potem dobi podatek o tem, katero aplikacijo in kdaj si pognal - lahko dela poizvedbe in dobi info direktno od takih appov?

Na webu lahko blokiras te plugine in navzkrizna sledenja na vec nacinov, na telefonu pa si bolj ali manj odvisen od njihove "dobre volje"...
Stevie Jobs

Stevie Jobs

Pridružen/a: 10.11.2008
Prispevkov: 8214
Kraj: LJ
Moški

Poglej uporabnikov profil
Prispevek: #6   Objavljeno 09.01.2019 20:25:45
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
Zakaj sploh rabijo posebne aplikacije v telefonu, če si pa kar med sabo izmenjajo podatke?

Pred novim letom je NYT objavil, kako si je FB izmenjeval pozatke z vsaj 60 ta velikimi playerji. Med njimi je seveda tudi Apple. Zanimivo pa, da je sodeloval tudi Yandex (ruski Google).

https://www.cnet.com/news/facebook-apple-samsung-cambridge-analytica-user-data-and-their-friends-data/

_________________
Get a life, get a Mac! ¯\_(ツ)_/¯
Stevie Jabuk

Stevie Jabuk

Pridružen/a: 18.01.2012
Prispevkov: 426
Moški

Poglej uporabnikov profil
Prispevek: #7   Objavljeno 09.01.2019 23:30:04
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
azrael je napisal/a:
Že že, ampak v tem primeru naj bi bila, če sem prav razumel, možna na strani FB enoznačna identifikacija userja (če imaš FB app na napravi) ne glede na to, ali je prijavljen v 3rd party appu preko FB logina ali ne. Skratka da app, ki to podpira, kljub neuporabi FBju pošilja podatke.

Aja, tako misliš. Ja seveda ti tako sledijo, saj ti praktično po celotnem spletu kot že omenjeno. Na računalniku to rešiš z adblockerjem (ki blokira "socialne" vtičnike). Na iphonu malo težje, vendar imaš še vedno določene adblockerje, ki preko vpn/dns nastavitev omogočajo takšno blokiranje.

_________________
Mastercard kartica Curve
Uporabi kodo PPSAT (https://www.curve.app/join#PPSAT), ter sebi malo skrajšaj čakalno vrsto (in obema pridobi 5 funtov dobroimetja).
Stevie Jobs

Stevie Jobs

Pridružen/a: 10.11.2008
Prispevkov: 8214
Kraj: LJ
Moški

Poglej uporabnikov profil
Prispevek: #8   Objavljeno 10.01.2019 00:51:00
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
Tole me je zanimalo, kaj počnejo preko appov in sem si vzel pol ure za branje.
Kaže, da lahko pošiljajo tvoje podatke in celo podatke tvojih prijateljev, čeprav te nimajo nameščenih nobenih aplikacij povezanih s FB.

https://www.imore.com/how-to-revoke-facebook-app-permissions

Ne razumem konkretno, kako te izmenjave potekajo, samo te podatke pomoje pošlje FB appom iz svojih serverjev (neglede na platformo). Pač, kar je uspel zbrat. Kaj in kako zbere je pa druga zgodba. Če ne več čez cookije pa s pomočjo fingerprinta, ki ga dobi na osnovi dostopnih podatkov o tvoji napravi in tvojem obnašanju na njej. Da pa pride do tvojih SMSjev in zgodovine klicev je pa težje predstavljivo.

Še en razlog več, zakaj nimam FBja.

_________________
Get a life, get a Mac! ¯\_(ツ)_/¯
Stevie Wozniak

Stevie Wozniak

Pridružen/a: 06.04.2013
Prispevkov: 1249
Moški

Poglej uporabnikov profil
Prispevek: #9   Objavljeno 10.01.2019 20:32:49
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
Tole na linku je regularna funkcionalnost, ki jo imam ugasnjeno (sem pa pred leti uporabil za kratek čas). Jasno, da se v primeru uporabe izmenjajo določeni podatki med FB in appom, v katerem uporabiš prijavo, kar je tudi navedeno ob aktiviranju (nima vsak app popolnoma enakih zahtev), da je vse "pošteno".

Me je pa pred tedni presenetilo, ko sem gledal "interests" v nastavitvah FB na webu, pa je bil na seznamu en app, ki sem ga na iphonu imel samo nekaj dni, nisem uporabil funkcije FB prijave (oz. je bila ta celo ugasnjena, kot rečeno), o appu pa se tudi nisem pogovarjal po chatu ali objavil kakšnega posta na to temo (to naj bi bili bolj ali manj potencialni viri za "interese").

In potem sem kasneje nekje prebral (trenutno ne uspem najti), da naj bi se fb in appi, ki podpirajo fb prijavo, med sabo "pogovarjali" ne glede na to, ali je ta funkcionalnost v uporabi ali ne. Zato sem sklepal, da bi bilo to povezano.

Če je to res tako, bo vedel kakšen razvijalec, ki se je s tem srečal. Kot mi je znano, naj bi bilo aktualno stanje na iOSu tako, da se med sabo lahko vidijo in "pogovarjajo" samo appi istega avtorja (npr. vsi microsoftovi, vsi googlovi...).
Stevie Jabuk

Stevie Jabuk

Pridružen/a: 18.01.2012
Prispevkov: 426
Moški

Poglej uporabnikov profil
Prispevek: #10   Objavljeno 10.01.2019 22:27:00
Re: Facebook prijava za 3rd party aplikacije varnostna luknj
Odgovori s citatom Dodaj uporabnika na seznam ignoriranih
azrael je napisal/a:
In potem sem kasneje nekje prebral (trenutno ne uspem najti), da naj bi se fb in appi, ki podpirajo fb prijavo, med sabo "pogovarjali" ne glede na to, ali je ta funkcionalnost v uporabi ali ne. Zato sem sklepal, da bi bilo to povezano.

Če je to res tako, bo vedel kakšen razvijalec, ki se je s tem srečal. Kot mi je znano, naj bi bilo aktualno stanje na iOSu tako, da se med sabo lahko vidijo in "pogovarjajo" samo appi istega avtorja (npr. vsi microsoftovi, vsi googlovi...).

Aplikacije se ne pogovarjajo s FB appom, ampak s FB serverji direktno, tako da tukaj sandbox nima nobenga vpliva. Vsaka aplikacija se lahko poljubno povezuje kamorkoli želi, saj iphone nima nobenega firewalla s katerim bi lahko ti to prepovedal.

Kako pa te identificirajo, da si to ti je pa malo morje rešitev. Sicer UUID se kolikor vem, ne sme več uporabljati, ampak na voljo imajo dovolj drugih zadev, da ustvarijo tvoj fingerprint.

_________________
Mastercard kartica Curve
Uporabi kodo PPSAT (https://www.curve.app/join#PPSAT), ter sebi malo skrajšaj čakalno vrsto (in obema pridobi 5 funtov dobroimetja).
Ne moreš dodajati novih tem
Ne moreš odgovarjati na teme
Ne moreš urejati svojih prispevkov
Ne moreš brisati svojih prispevkov
Ne moreš glasovati v anketi
Pokaži sporočila:
Pojdi na:
Jabuk.si Vsa vsebina spletne strani je last Jabuk.si in njegovih članov. © 2004 - 2014 Jabuk.si Kontakt Kontakt   Domov Domov   Na vrh strani Na vrh strani