脸书周一宣布扩大抓漏奖励计划,通报脸书平台上不当泄露用户存取权杖的第三方app及网站漏洞的研究人员也可以拿奖金了。
脸书平台的存取权杖(access△token)让用户可以经由脸书帐号存取第三方app,这个权杖只专属于特定用户和app。存取权杖和app可存取什么个资、做什么事都是由使用者决定,一旦泄露就可能遭滥用。为了确保用户个资,脸书也希望能掌握漏洞,即使他们无法直接修补这些漏洞。
但是为免研究人员使用骇入手法,脸书声明仅接受研究人员被动检视使用第三方app或网站时装置上接到、发出的资料找到的漏洞。研究人员不得对变造对app及网站发出的呼叫,或以其他方式干扰正常运作,例如资料隐码(SQLi)、跨站攻击(XSS)、开放重导向(open△redirect)或权限绕过(permission△bypass)如不安全的直接物件参照(Insecure△Direct△Object△References,IDOR)都在脸书严禁名单之中。
一如脸书自有服务的抓漏奖励,脸书对于上述漏洞将颁发每款漏洞最低500美元的奖金。而若脸书证实确有存取权杖泄露情形,会协同app及网站开发商修补漏洞。若有不从者,会被立即从脸书平台上暂时关闭,直到问题修复且经过脸书安全验证止。而遭骇的存取权杖也会被自动吊销以免可能的误用,脸书也会通知他们认为受到影响的对象。
脸书并强调,这个抓漏奖励并不能取代第三方app开发商们以技术和组织措施确保用户个资的义务,这些都通过脸书的服务条款或开发政策要求开发商们遵守。不过由于这或许是业界第一次扩及第三方app的奖励方案,脸书也会视开发商意见以便日后调整。
为确保用户个资,脸书今年4月另外还推行了资料滥用奖励方案,以奖励揭发第三方app搜集用户个资,并传给恶意他人从事不法行为的情形。?
I 相关 / Other
【有片睇】iOS 浏览器最新漏洞 程式码即令iPhone、iPad重新开机 | 香港 UNWIRE.HK 玩生活.乐科技
最近有资讯安全人员表示,只需要 15 行程式代码,即可让使用 iOS 系统的装置马上重新启动,而 macOS 上的 Safari 浏览器也会受到有关攻击影响。导致程式死机,没有回应。(图片来源:EverythingApplePro#YouTube)资
漏洞曝光一年了,仍有20亿蓝牙装置没修恐遭BlueBorne攻击
去年9月研究人员发现BlueBorne蓝牙攻击漏洞,可让骇客在不配对或设定情况下骇入智能手机或电脑。而一年之后,安全公司发现全球仍然有20亿台装置仍然未修补漏洞。BlueBorne是去年由Armis△Labs研究人员首先揭露。它是
示意图,与新闻事件无关。 图片来源: 微软 微软于本周二(9/11)的每月例行性修补中,修补了61个安全漏洞,当中有17个属于重大(Critical)漏洞,以及一个概念性验证攻击程式已经出炉的零时差漏洞CVE-2018-8440。C
示意图,与新闻事件无关。 Safari被爆有网址列欺骗(Address△Bar△Spoofing)漏洞未修补,可能害用户连上恶意网站。网址造假漏洞是一种理解竞争(race△condition)型态的漏洞,原因是浏览器允许JavaScript在网页
示意图,与新闻事件无关。 GuardianApp团队上周指出,有愈来愈多的iOS程式嵌入了可将位置资讯传送给第三方的套件,这些程式通常提供了需要位置服务权限的正当理由,却鲜少或根本没有提及将把这些位置资讯与第三方分