Face.com: dopo l'acquisizione, una brutta vulnerabilità

Face.com, società che offre soluzioni per il riconoscimento automatico dei volti raffigurati nelle foto digitali, come noto, è stata recentemente acquistata da Facebook (i dettagli dell’operazione sono pubblicati nell’articolo “Il riconoscimento facciale di Face.com è ora di proprietà di Facebook“). A distanza di pochi giorni dall’intesa, Ashkan Soltani, un ricercatore esperto di problematiche correlate con la sicurezza informatica, ha spiegato di aver rilevato un pericoloso bug nell’applicazione KLIK. Sviluppata e pubblicata online da Face.com, KLIK è un’applicazione per dispositivi Apple iOS che permette di “taggare” ossia “etichettare” i soggetti ripresi nelle foto digitali. Scaricabile da iTunes, KLIK esamina le foto acquisite e provvede ad effettuarne la scansione alla ricerca di volti conosciuti (i visi di amici, parenti e conoscenti). Una serie di filtri consentono di ottimizzare le immagini migliorandole la qualità.

Soltani ha spiegato, però, che KLIK soffriva di una brutta lacuna di sicurezza. Utilizziamo l’imperfetto perché il ricercatore ha pubblicato i dettagli sulla sua scoperta solamente dopo aver avviato una collaborazione spalla a spalla con Face.com e Facebook, accertandosi della risoluzione della vulnerabilità.
L’esperto, nella sua analisi, sostiene che l’applicazione KLIK soffriva di una falla assai grave che avvrebbe potuto permettere, a chiunque, di modificare gli account Facebook e Twitter di inconsapevoli utenti. Come? Sembra che i token rilasciati da Facebook e Twitter dopo l’avvenuta autenticazione, venissero conservati sui server di Face.com senza utilizzare particolari misure di sicurezza. Un aggressore avrebbe potuto impadronirsi dei token altrui per inviare illecitamente messaggi attraverso Facebook e Twitter utilizzando i profili di altri utenti.

I token sono una sorta di “lasciapassare”, un identificativo che viene utilizzato durante tutte le successive procedure di autenticazione dopo l’effettuazione del primo login. “Face.com conservava i token OAUTH di Facebook e Twitter in modo insicuro permettendone il recupero da parte di *qualunque* utente, senza alcuna restrizione“, ha affermato Soltani che spiega come un aggressore dovesse limitarsi, semplicemente, ad effettuare una chiamata verso un URL.

Il ricercatore coglie l’occasione per porre l’accento sulla necessità di applicare algoritmi solidi per mettere in sicurezza le informazioni che potrebbero essere sfruttate per compiere furti d’identità. “I servizi che salvano in cache, “in the cloud”, i token degli utenti espongono questi ultimi a rischi inutili“, ha concluso Soltani che evidenzia come il problema di sicurezza sia stato risolto con la cooperazione e l’intervento di Face.com, Facebook e Twitter.