Дханжани отмечает, что архитектурная уязвимость в Facebook предоставляет доступ к пользовательским данным и третьим приложениям без какого-либо запроса со стороны пользователей.
Facebook применяет всплывающие окна для предупреждения пользователей, когда те решат добавить любые третьи приложения на ПК или в свой блог, таким образом, чтобы у пользователей была возможность передумать до того, как начнется реальная загрузка приложений. Однако не так давно Facebook изменила политику и теперь некоторые приложения могут использовать так называемые неявные функции авторизации, не предупреждая пользователей. Таким образом, сторонние сайты могут получить доступ к ряду пользовательских данных.
«Такой подход позволяет Facebook получить дополнительные доходы от размещения приложений, но ставит под угрозу данные пользователей. В Facebook сочли, что любое предупреждение - это сдерживающий фактор, который, вероятно, может склонить пользователя к отказу от покупки», - пишет Дханжани в своем блоге.
По его словам, представленная атака - это разновидность атак ClickJacking или мошенничества с кликами.
Напомним, что ранее в наличии подобных уязвимостей был уличен и сайт микроблоггинга Twitter.
