Una nota estensione per Google Chrome, chiamata LOC, è stata bloccata dal browser Brave perché si teme possa esporre a furti i dati di numerosi utenti Facebook. LOC permette, tra le varie funzionalità, di scaricare i messaggi su Facebook, cambiare le impostazioni di privacy dei post e aggiungere o rimuovere gli amici.

Come riportato anche sulla pagina GitHub dall’ingegnere di Brave Francois Marier “se un utente è già collegato a Facebook, installare questa estensione concederà automaticamente ad un server di terze parti l’accesso ad alcuni dati Facebook dell’utente. L’API usata dall’estensione – prosegue Marier – non consente a Facebook di mostrare una richiesta di autorizzazione all’utente prima che il token di accesso all’applicazione venga emesso”.

In una dichiarazione rilasciata a The Register lo sviluppatore dell’applicazione, Loc Mai, ha dichiarato comunque che la sua estensione, che conta circa 700.000 utenti, non sta raccogliendo i dati di nessuno, come riportato nella politica sulla privacy. L’estensione raccoglie solamente l’UID degli utenti Premium, che è unico per ciascun iscritto.

Sempre stando alle parole di Mai l’estensione archivia il token a livello locale, sotto localStorage.touch. Ciò, pur non essendo vietato, rappresenta un rischio per la sicurezza. Infatti un possibile malintenzionato potrebbe facilmente ottenere i dati di Facebook utilizzando lo stesso metodo di accesso, dal momento che Facebook espone un token in chiaro che permette quella che Zach Edwards, ricercatore di sicurezza, definisce una “god mode“. Tuttavia LOC è ancora disponibile tramite Chrome Web Store.

Loc Mai ha inoltre spiegato che l’estensione invia al Creator Studio di Facebook una richiesta GET, che restituisce all’utente un token per accedere e automatizzare l’elaborazione dei dati, ad esempio per poter scaricare i messaggi.

Stando al commento rilasciato dallo sviluppatore in risposta al post su GitHub “il token di accesso è all’interno dell’HTML di quella pagina. Qualsiasi utente Facebook può andare su view-source:https://business.facebook.com/creatorstudio/home e vedere il token di accesso”.

Facebook continua a considerare tutto ciò come una funzionalità e non come un bug pur avendo già avuto nel 2018, come dichiarato da Zach Edwards, un problema simile che vide 50 milioni di account eliminati dopo essere stati esposti ad un token.

Mai si è comunque detto disponibile a valutare l’eventuale rimozione della sua estensione a patto che Facebook gli fornisca informazioni più precise sul perché la sua estensione sarebbe dannosa e si dimostri più comprensibile verso la situazione che vede coinvolti i suoi account (è stato bannato da Facebook e Instagram con l’accusa di condividere i dati degli utenti senza consenso, pratica che lui nega).

A seguito di ciò, un portavoce Facebook ha inviato una mail a The Register, spiegando che dopo i reclami giunti stanno esaminando la situazione e prenderanno i giusti provvedimenti al fine di proteggere i dati degli utenti.