Скрытый доступ Chrome-плагинов к профилям Facebook грозит новыми утечками

Татьяна Никитина 18 Февраля 2022 - 08:53

Домашние пользователи

Корпорации

Утечки информации

Умышленные утечки информации

Кража данных

Facebook

...

Многие расширения Chrome, облегчающие взаимодействие с Facebook, используют сеансовые токены пользователя для доступа к нужной информации через Graph API соцсети. Как оказалось, некоторые из этих плагинов отсылают данные из профиля на свой сервер без согласия и ведома пользователя, а также в нарушение политик Meta.

Подобная возможность создает риск массовой утечки данных фейсбукеров, и в случае злоупотребления доступом к Graph API соцсеть может вновь оказаться в центре скандала, как это уже было в 2018 году (весна, Cambridge Analytica, и осень, кража токенов через функцию View As).

На прошлой неделе компания Brave заблокировала в своем браузере загрузку расширения L.O.C. из Chrome Web Store. Плагин, помогающий юзерам автоматизировать некоторые задачи в Facebook, пользуется популярностью — его скачали из магазина Google около 700 тыс. раз, однако в Brave сочли, что он ставит под угрозу конфиденциальность пользователей.

Как выяснил The Register, используемые L.O.C. токены доступа (текстовая строка из 192 букв и цифр) можно легко получить обращением к Creator Studio — это веб-приложение Facebook отдает их в ответ на запрос GET. Свидетельств того, что плагин злоупотребляет доступом к данным в соцсети, не обнаружено, однако разработчику все же пришлось вместе с Brave заняться приведением его в соответствие с нормами безопасности и приватности.

В Chrome Web Store имеются еще несколько расширений, использующих Creator Studio для получения токенов доступа к данным в Facebook:

J2TEAM Security (200 000 загрузок),
MonokaiToolkit (10 000),
FBVN (80 000),
KB2A Tool (50 000).

Все эти продукты — результат работы Facebook-группы, популярной у разработчиков, говорящих на вьетнамском языке. Они используют сеансовые токены соцсети для предоставления услуг, отсутствующих в ее ассортименте, но пользователей при этом не ставят в известность об обработке их данных.

В ответ на запрос The Register о комментарии представитель Meta заявил, что таким расширениям Chrome обычно недоступны данные сверх тех, которыми может оперировать владелец Facebook-аккаунта. Тем не менее, в компании признают наличие рисков и факт нарушения правил соцсети.

Бороться с такими проблемами без помощи Google невозможно, и Meta, как сказано в ответном письме, неоднократно просила создателя Chrome удалить провинившиеся плагины из загрузок. Разработчику L.O.C. было направлено письмо-претензия; ему даже запретили пользоваться платформой, но все эти меры не могут деактивировать плагин в браузерах фейсбукеров.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 18:21

Android Домашние пользователи Защита мобильных устройств Защита мобильных устройств Google

Android запретит доступ к экрану «лишним» приложениям

Google, похоже, готовит ещё одно нововведение по части безопасности Android. В тестовой сборке Android Canary 2602 обнаружена новая функция для Advanced Protection Mode — режима «максимальной защиты», который компания представила в Android 16.

Теперь Advanced Protection Mode может ограничивать работу приложений, использующих AccessibilityService API, если они не классифицированы как инструменты для доступности.

AccessibilityService API — это мощный механизм Android, изначально созданный для помощи людям с ограниченными физическими возможностями. С его помощью приложения могут читать содержимое экрана, отслеживать действия пользователя и даже выполнять жесты от его имени.

Именно поэтому этот API часто становился инструментом атакующих. За последние годы многие приложения — от автоматизаторов и лаунчеров до «оптимизаторов» и антивирусов — использовали его для обхода системных ограничений. Формально ради удобства, однако на деле получая очень широкие права.

Google постепенно ужесточала политику. Приложения, действительно предназначенные для помощи людям с ограниченными возможностями, должны указывать специальный атрибут isAccessibilityTool. К ним относятся экранные дикторы, системы управления жестами, голосовой ввод, брайлевские интерфейсы и другие специализированные инструменты.

По данным аналитиков, в новой версии Android Canary при включении Advanced Protection Mode система:

запрещает выдавать разрешение Accessibility Service приложениям, не признанным Accessibility Tools;
автоматически отзывает уже выданные разрешения у таких приложений.

Если приложение сильно зависит от этого API, оно просто перестанет работать.

В тестах, например, приложение dynamicSpot (эмулирующее Dynamic Island на Android) становилось недоступным: пункт был с пометкой «Restricted by Advanced Protection». Причина простая: оно использует AccessibilityService для чтения уведомлений и отображения поверх других приложений.

Инструменты, официально классифицированные как средства доступности, под ограничения не попадают.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!