Noves possibilitats per als programadors en Facebook obren noves portes al malware

Compartir

FacebookLa setmana passada els responsables de la coneguda xarxa social decidien permetre l’accés de les aplicacions que funcionen sobre Facebook realitzades per terceres parts, a dades ‘sensibles’ dels usuaris com són el seu número de telèfon i adreça. Tot i que per aconseguir aquest accés en darrer terme cal obtenir permís explícit per part de l’usuari, són molts els internautes que no llegeixen prou bé les condicions que se’ls posen al davant, quelcom que pot ser aprofitat pels creadors de malware.

Guillem Alsina (guillem@imatica.org) – Cada cop que es facilita la tasca als programadors que desenvolupen sobre una determinada plataforma per tal que puguin accedir a dades i funcionalitats, també s’està obrint la porta a possibles escletxes de seguretat i polèmiques de privacitat. I això no és menys cert per a Facebook i la seva API de programació.

Aquesta permet que terceres parts (programadors independents, usuaris i empreses) creïn petits programes que realitzin alguna tasca concreta i limitada que funcionin dins de les pàgines de la xarxa social. Per exemple, els famosos jocs socials “casual” com FarmVille empren aquesta API.

En la darrera actualització d’aquesta API produïda el divendres passat, Facebook va introduir la possibilitat que una aplicació que funciona sobre la seva API pugui accedir a dades del perfil de l’usuari a les que fins ara no podia accedir, com el número de telèfon i la seva adreça postal. Només aquest fet aïllat no constitueix un risc en si mateix, però el problema existeix i ve donat per la part de l’usuari.

Per tal que una aplicació pugui accedir a aquestes dades, haurà d’obtenir abans permís explícit de l’internauta mitjançant un quadre de diàleg. El problema és que la majoria de les persones tendim a acceptar les condicions que se’ns posen al davant sense parar compte al què se’ns explica i sense llegir-nos els textos de llicència o condicions.

Així, a una aplicació que pugui accedir al nostre número de mòbil, no li costaria gaire subscriure’ns a serveis d’enviament de missatges SMS prèmium, d’aquells que cal pagar a preu d’or, per posar només un exemple. El perill és, doncs, molt real.

Tenim al nostre davant, i com a usuaris, dues possibles solucions: per una banda llegir acuradament tots i cadascun dels punts que constitueixen el contracte d’usuari o les condicions d’ús de l’aplicació a la que estem a punt de donar permís per accedir a les nostres dades personals assegurant-nos que hem comprés perfectament què és el que farà en el nostre compte, o bé -i això és el més fàcil- esborrem aquestes dades del perfil.

Una possible solució: el control i certificació de les aplicacions per part de Facebook

Hi ha una altra possible via que no depèn de nosaltres com a usuaris de la xarxa social, i que de moment sembla que no li interessa a Facebook: consisteix en adoptar la mateixa política que Apple aplica a l’App Store permetent l’execució només d’aquelles aplicacions que Facebook consideri apropiades. Això imposaria un filtre que aturaria a la major part del malware (alguna cosa sempre se’n podria escapar), rebaixant el nivell de perillositat.

Però malgrat tot, a molts se’ns queda al tinter la pregunta: per què? per què les aplicacions necessiten conèixer les nostres dades privades per a funcionar?

Copyleft 2011 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

Guillem Alsina