viernes, agosto 03, 2012

Aplicaciones de Facebook y Privacidad (1 de 3)

A finales del año pasado miraba como funcionan las aplicaciones de Facebook, y la verdad es que después de haber hecho unas pruebas en el Graph API para desarrolladores, como era de esperar,  la seguridad de Facebook vuelve a mostrar errores no deseable. La gente que tiene algo de conocimientos sobre como funcionan las Apps de Facebook en relación con nuestra información personal, sabrán que no es nada de otro mundo que obtengan acceso de forma fácil a ella - a nuestra información -, y los que no entienden mucho, ahora lo entenderéis.

Cada aplicación de Facebook requiere permisos de los usuarios para poder acceder a nuestra información y realizar ciertas acciones, los cuales algunos de esos permisos son necesarios para que funcione dicha aplicación. Los permisos que nos pueden pedir son variados y van desde publicar estados, fotos, acceder a nuestra fecha de cumpleaños, numero de celular hasta acceder a nuestra carpeta de mensajes privados, crear notas, eventos, agregar amigos y más.

Para ello, cuando entramos a una nueva aplicación, esta nos pide los permisos, los cuales la mayoría de la gente los acepta sin leerlos, como si instalaran un programa en el PC,  ya sabéis, le dan a aceptar antes de instalar. Solo aceptarlos basta para dejar expuesta nuestra información a la aplicación que la solicito. Interesante ¿no? Quiénes de los que están leyendo este articulo se quedo pensando ¿y para que cojones una aplicación querrá acceder a mis mensajes? O ¿crear eventos?

Aquí entran en juego las aplicaciones creadas por los tíos malos para robar datos. Como dije anteriormente estas te piden no solo un permiso, sino que te piden todos y tú se los das con dos o tres clics y luego a toda tu información es usada para venderlos al mercado negro, suplantar tu identidad, campañas de spam, marketing indeseable, etcétera, etcétera, etcétera. Permisos como crear eventos o notas son usados para distribuirse invitando a toda tu lista de contactos en campañas virales, así son mas las personas afectadas. Si entramos a alguna aplicación lo más probable es que aparezca un cartel parecido a éste:

Figura 1: Solicitud de permisos de una aplicación Facebook

Permisos de las aplicaciones Facebook

Ahí claramente podemos ver los permisos que pide la aplicación, una aplicación normal pide esos permisos y alguno que otro más. La dirección de la petición de permisos seria en un estilo estructurado así:

https://www.facebook.com/dialog/oauth?client_id={ID DE LA APLICACION}&redirect_uri={URL DE REDIRECCION}&scope={PERMISOS}
ID DE LA APLICACIÓN: Numero de identificación de la aplicación.
URL DE REDIRECCIÓN: Dirección URL establecida por la aplicación, se puede modificar pero solo con direcciones de servidores de Facebook o con la que la aplicación haya establecido, de lo contrario nos tirará un error.
PERMISOS: Son establecidos por la aplicación, se pueden modificar pero si les quitamos los permisos que nos pide puede que la aplicación no funcione correctamente.
La mayoría de las aplicaciones que hay dentro de Facebook funcionan con códigos de acceso (a nuestra información) denominados “access token”, de tal manera que cuando aceptamos los permisos se genera dicho código con el cual la aplicación es capaz de realizar distintas acciones según se lo hayamos permitido.

Si deseamos ver el código de acceso que la aplicación genera, hay que modificar la dirección de petición agregándole al final el tipo de respuesta y también modificar el “redirect_url” con algún servidor de Facebook o con la pagina definida por la aplicación. La estructura quedaría así:

https://www.facebook.com/dialog/oauth?client_id={ID DE LA APLICACIÓN}&redirect_uri={URL DE REDIRECCIÓN}/&scope={PERMISOS}&response_type=token

Si navegamos dicha URL, la aplicación nos pedirá los permisos que desea obtener y si los aceptamos se nos redireccionará a:

http://www.facebook.com/#access_token={CÓDIGO GENERADO}&expires_in={TIEMPO EN EL QUE EL CÓDIGO EXPIRARÁ}

Como verán, el código que se genera tiene un periodo para que expire. Es decir que se podrá usar ese código durante un cierto tiempo hasta que volvamos a generar otro. Si el tiempo en el que el código expira (“expires_in”) es igual a 0 entonces no expirará a menos que cambiemos nuestra contraseña o le quitemos los permisos a la aplicación. Para ver la aplicación, los permisos, el usuario, el tiempo de vencimiento, etcétera, de un código podemos utilizar el Debugger que Facebook ofrece a los desarrolladores.

Figura 2: Debugger de aplicaciones Facebook

Eliminación de una aplicación Facebook

Si ves que te has pillado una de esas aplicaciones que publican cada 2x3 con tu nombre y deseáis eliminarla podéis hacerlo así, desde la configuración de tu cuenta en https://www.facebook.com/settings/?tab=applications:

Figura 3: Eliminación de aplicación Facebook


Le dan clic a Editar, luego a Eliminar y listo. Si le dan a Editar, se les desplegara toda la información de lo que la aplicación puede hacer. Y como verán en la imagen en la parte de abajo muestra los últimos accesos en los que la aplicación hizo uso de nuestros datos.

¿Y estas cosas, se utilizan para hacer maldades? Lo vemos en la segunda parte del artículo.

Autor: Ariel Ignacio La Cono

***************************************************************************************************
- Aplicaciones de Facebook y Privacidad (1 de 3)
- Aplicaciones de Facebook y Privacidad (2 de 3)
- Aplicaciones de Facebook y Privacidad (3 de 3)
***************************************************************************************************

2 comentarios:

Matias Compiano dijo...

Chema, estuve buscando en la pagina de Facebook pero no encontré la forma de setear expires in en 0. Tenes un poco mas de info de eso?

Saludos desde Argentina.

Ariel Ignacio La Cono dijo...

Al tiempo de expiración no lo podes establecer vos aunque noté que si solo pedís un permiso mínimo la mayoría de las veces se establece en cero..

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares