Utilisez-vous Facebook et avez-vous installé une extension sur votre navigateur ? Faites attention si vous avez installé l’extension Chrome dont on parle dans ce billet, car vous pourriez subir une exfiltration de données car elle donne à un serveur tiers l’accès aux données des utilisateurs.

Le token, désigné par le chercheur en cybersécurité Zach Edwards comme « God Mode », est exposé en clair dans les API du service, qui sont souvent utilisées pour l’intégration d’automatisations, de modules, de plugins, etc… En 2018, il y avait déjà des problèmes avec ce token, puisque 50 millions de comptes Facebook ont été supprimés en raison d’une « exposition du token ».

Francois Marier, ingénieur en sécurité chez Brave, a publié sur Github Issues qu’il a découvert que l’extension Chrome L.O.C. expose les données des réseaux sociaux à un éventuel vol. Si un utilisateur a installé cette extension sur son navigateur et qu’il est connecté à Facebook, l’application donne accès à certaines données de l’utilisateur à un serveur tiers.

Malgré les déclarations de Loc Mai, le créateur de l’application L.O.C., selon lesquelles, comme indiqué dans la politique de confidentialité de son application, celle-ci ne collecte pas d’informations sur les utilisateurs. L’application stocke le jeton localement. Ce dernier point permet à un développeur malveillant de l’utiliser pour obtenir les données des utilisateurs. Par exemple, l’API graphique de Facebook a besoin de ce jeton d’accès pour fonctionner. Cette API est l’un des principaux outils permettant aux applications d’effectuer des tâches de lecture et d’écriture sur le graphe social de Facebook, selon sa documentation.

Certains navigateurs, comme Brave, qui se vantent de prendre soin de la vie privée des utilisateurs qui utilisent ce navigateur, sont donc en train de bloquer l’installation de l’extension L.O.C..

Plus d’information:
https://cyber.vumetric.com/security-news/2022/02/12/facebook-exposes-god-mode-token-that-could-siphon-data/
https://github.com/brave/extension-whitelist/issues/48
https://news.dolakha.net/facebook-unveils-god-mode-can-be-used-by-crooks-register-original-news/
https://www.theregister.com/2022/02/12/facebook_god_mode/?&web_view=true