安全研究人員卻擔心,允許第三方程式存取使用者地址及手機號碼,再佐以Facebook用戶在個人檔案中曝露的資訊,可能開啟更多的身份竊盜機會。
Facebook上周更新其平台設計,允許第三方應用程式存取使用者的住址及電話號碼,雖然相關資訊都需要使用者明確的同意後才能被存取,但安全研究人員卻擔心,這會讓流氓應用程式有機可趁。
根據Facebook的說明,現已開放使用者的電話號碼及地址供第三方應用程式存取,由於這些屬於個人機密資訊,因此在存取使用者資訊的畫面上,除了原本的存取姓名、性別、朋友列表及檔案照片等基本資料外,會額外顯示一欄寫著現有住址及行動電話號碼的聯絡資訊。
資安業者Sophos技術顧問Graham Cluley表示,他知道用戶僅有在按下同意時才會讓第三方程式存取其個人資訊,但有太多的攻擊可能會誘導使用者同意,那些不肖開發人員將發現更容易蒐集到更多的使用者資訊。例如可能會有存心不良的開發人員打造一個專門用來蒐集電話的流氓程式,然後用來發送簡訊垃圾郵件,或是把資料賣給電話行銷公司。
此外,允許第三方程式存取使用者地址,再佐以Facebook用戶在個人檔案中曝露的資訊,可能開啟更多的身份竊盜機會。
Cluley質疑,也許由Facebook先行認證哪些開發人員能夠存取使用者資訊會更好,也質疑這些機密資訊對應用程式而言是否必要,他覺得很快就會有詐騙份子利用這個新措施達成犯罪目的。
為了避免因隱私資訊外洩而遭受攻擊,Cluley建議Facebook用戶移除個人檔案中的住址及行動電話資訊,他已發現有人把行動電話號碼改成Facebook的客服專線。(編譯/陳曉莉)
From:
http://www.ithome.com.tw/itadm/article.php?c=65571