Le développeur David Poll a découvert qu'une vulnérabilité dans le SDK de Facebook pour Android accorde à certaines applications Android des accès non autorisés au compte Facebook du propriétaire du smartphone.

Des applications comme foursquare par exemple utilisent le SDK comme un moyen simple et commode de lire les profils des utilisateurs de Facebook ou poster des photos sur leurs murs ce qui nécessite généralement des autorisations supplémentaires qui devraient, je pense, être demandées à l'utilisateur.

Une fois ces autorisations accordées, l'application reçoit un jeton d'accès (token) à partir du serveur de Facebook qui, jusqu'à sa révocation, lui permet d'effectuer les actions demandées. Une annonce a révélée que, avec les autorisations requises en place, le SDK de Facebook écrit une URL qui contient le jeton dans un fichier du journal du smartphone. Il faut savoir que ce fichier journal est accessible pour n'importe quelle application qui a la permission de lire les données du journal lors de son installation.

Comme de nombreux utilisateurs d'Android confirment souvent automatiquement les demandes d'autorisation lors de l'installation d'applications, il ne devrait pas être difficile pour un pirate d'obtenir les accès requis. En récupérant ce jeton d'accès dans le journal, une application spécialement conçue pourrait alors obtenir les autorisations qui ont été accordées aux applications légitimes utilisant le jeton.

Le développeur a découvert la vulnérabilité vers la mi-Février et en a avisé Facebook. La société a réagi rapidement et a supprimé la ligne de code qui était responsable de l'écriture dans le fichier journal à partir du SDK. Toutefois, cela ne signifie pas que le problème est résolu car certains développeurs peuvent toujours utiliser l'ancienne version du SDK intégrée à leurs applications. Pour éviter que les applications ne révèlent le jeton d'accès, tous les développeurs doivent donc mettre à jour leurs applications avec la version corrigée du SDK et redéployer leur application sur Google Play.

Une annonce dit que Facebook lui a demandé d'attendre avant de divulguer ce problème jusqu'à ce que les développeurs de Facebook corrigent cette faille. En attendant que les développeurs aient mis à jour leurs applications embarquant le SDK de Facebook, les pirates ont un peu de temps pour tenter d'exploiter cette vulnérabilité.

Le très connu client de Twitter nommé TweetDeck a apparemment souffert d'une faille de sécurité ce vendredi, ce qui a permis à certains utilisateurs de prendre le contrôle d'autres comptes utilisateurs. Twitter, qui possède TweetDeck, a réagi rapidement et a désactivé l'accès au système. Les fonctionnalités de TweetDeck ont été restauré un jour plus tard, une fois le bug résolu.

C'est un utilisateur de TweetDeck, Geoff Evason, qui a découvert le bug qui lui donnait accès aux comptes Twitter et Facebook de centaines d'utilisateurs de TweetDeck et autres. TweetDeck permet à ses utilisateurs de rassembler à la fois les comptes Twitter et Facebook sous un compte TweetDeck. Evason a publiquement signalé le problème sur Twitter, affichant une capture d'écran pour démontrer la vulnérabilité. Et pour en rajouter une couche, il a aussi posté plusieurs messages à partir de comptes d'autres personnes.

Dans une déclaration faites à VentureBeat et d'autres médias US, des représentants de Twitter ont dit qu'aucun mot de passe n'a été compromis. Facebook a déclaré au Wall Street Journal que moins de 250 utilisateurs ont été infectés mais qu'aucun abus n'a constaté.

Lorsque l'on est sur un réseau social tel que Facebook, tout ce que l'on dit sur ce genre de site peut être utilisé de différentes manières. Comme vendre des informations à des publicitaires, analyser ces informations pour cibler les publicités sur vos pages ou même signaler votre compte aux autorités.

Mais il y a des extensions comme Encrypt Facebook disponible sur Google Chrome qui va vous permettre de rendre vraiment privé vos conversations sur le fameux réseau social. Tous les messages postés seront chiffrés et sauvegarder en tant que tel sur votre page Facebook. Facebook ne pourra pas lire le contenu ainsi que toute autre personne.

Le principe est le suivant :

• Créer un groupe sur Facebook ou en utiliser un déjà existant.
• Installer l'extension et la configurer.
• Créer une clé de sécurité qui sera utilisée pour chiffrer et déchiffrer le contenu.

La seule contrainte à cette extension est le fait que vous devrez distribuer cette clé à toutes les personnes qui auront l'autorisation de lire le contenu mais ces personnes devront aussi posséder l'extension.

Pour configurer correctement l'extension, vous devez tout d'abord cliquer sur l'icône correspondante à côté de la barre d'adresse. Il vous sera alors demandé de rentrer le lien du groupe Facebook et la clé de chiffrement.

Une fois que c'est fait, vous pouvez écrire vos messages normalement, ceux-ci seront automatiquement chiffrés dés que vous aurez fini votre saisie.

Dés que des visiteurs arriveront sur la page du groupe avec la bonne clé de sécurité, ils verront le texte déchiffré.

Cette extension utilise le chiffrement AES-256 pour chiffrer les messages et la clé de sécurité est stockée localement. Cette extension a été créée à l'origine pour les utilisateurs vivant au sein d'un gouvernement oppressif ou corrompu afin de permettre aux citoyens de communiquer librement et sans crainte de représailles.

Un autre petit soucis avec cette extension est que la clé est affichée en texte clair sur votre poste local donc toute personne ayant accès à votre machine pourrait facilement la retrouver.

Sinon voilà c'est tout bénef

www.ghacks.net

Une faille de sécurité quasi similaire a été découverte chez les géants que sont Google et Facebook. De type URL Redirect, cette faille permettrait à un hacker de vous rediriger vers un site externe.

Vous l'avez donc compris, cette faille peut être déclenchée uniquement par l'action d'un utilisateur. Si celui-ci clique sur un lien bien spécifique, cela le redirigera vers un site contenant probablement du code malveillant. En gros cela passera probablement par du phishing afin d'être exploité par un hacker.

Cette faille a été reportée tout d'abord pour Google par Ucha Gobejishvili (longrifle0x). Le lien pourrait être camouflé dans une attaque via phishing et serait sous cette forme :

https://accounts.google.com/o/oauth2/auth?redirect_uri=http://www.something.com

Même chose en ce qui concerne Facebook avec une faille découverte par ZeRtOx :

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.something.com

Dans ces deux exemples, ces liens vous redirigeraient vers www.something.com qui serait la page spécialement cuisinée par le hacker.

Soyez donc extrêmement vigilant sur les mails ou messages que vous pourriez recevoir en regardant bien les liens sur lesquels vous cliquez et qui se réfèrent à votre compte Google ou Facebook.
Pour être sûr que les emails proviennent de Google/Facebook et non d'un hacker, vérifiez bien l'en-tête de vos emails.

Edit: Une correction semble être en cours de déploiement chez Google ainsi que Facebook.

thehackernews.com

Dans la même idée que l'article précédent où je vous proposais un service permettant de nettoyer les permissions sur de nombreux réseaux sociaux, ici je vais vous présenter un service permettant de trouver facilement le lien pour supprimer un compte sur Internet.

Ce service appelé Delete Your Account regroupe pour l'instant 36 sites web et permet de supprimer le compte d'un simple clique. Et on sait tous comme il est souvent difficile de trouver la page pour supprimer ses comptes...

Voici quelques liens des réseaux les plus connus si vous souhaitez supprimer votre compte :

• Facebook : http://www.facebook.com/help/contact.php?show_form=delete_account
• Twitter : http://twitter.com/settings/accounts/confirm_delete
• Google : https://www.google.com/accounts/DeleteAccount
• Flickr : http://www.flickr.com/profile_delete.gne
• LinkedIn : https://www.linkedin.com/secure/settings?closemyaccountstart=
• Dropbox : https://www.dropbox.com/account/delete

Pour retrouver la liste des autres sites, rendez-vous sur Delete Your Account.