Utenti Facebook nuovamente nei guai? Attenti a LOC l’estensione di Chrome che mette a rischio i nostri dati

Gli utenti di Facebook devono fare attenzione a una estensione di Google Chrome che potrebbe mettere a rischio i loro dati sensibili. Per questo l’estensione è stata bloccata dal browser Brave, i cui sistemi la riconoscono come rischiosa perché potrebbe esporre a furti digitali i dati di moltissimi utenti del noto social network.

L’estensione in questione si chiama LOC e, tra le varie funzionalità di cui è dotata, permette anche di scaricare i messaggi su Facebook, cambiare le impostazioni della privacy dei post pubblicati dagli utenti e anche aggiungere o rimuovere dalle amicizie di Facebook altri profili.

In sostanza, questa estensione per come è concepita potrebbe, se installata, mettere letteralmente a nudo le impostazioni di sicurezza degli utenti e di conseguenza dare la possibilità a terze parti di mettere le mani nell’account di poveri e ignari malcapitati.

Lo sviluppatore di LOC parla della sua estensione

A spiegare come funziona l’estensione LOC e quasi sono i rischi dell’attivazione, è l’ingegnere del browser Brave, François Marier, che sulla pagina di GitHub ha rilasciato la seguente affermazione: “Se un utente è già collegato a Facebook, installare questa estensione concederà automaticamente ad un server di terze parti l’accesso ad alcuni dati Facebook dell’utente. L’API usata dall’estensione non consente a Facebook di mostrare una richiesta di autorizzazione all’utente prima che il token di accesso all’applicazione venga emesso”.

In difesa dell’estensione il suo sviluppatore, Loc Mai, che ha dato il nome al programma e che lo ha difeso su The Register. L’uomo ha affermato che la sua estensione, che al momento ha all’attivo la bellezza di 700.000 utenti, non sta affatto raccogliendo i dati di nessuno, come è del resto riportato nella politica sulla privacy. Loc Mai ha specificato anche che l’estensione si limita a raccogliere solamente l’UID dei cosiddetti utenti Premium, che è unico e univoco per ciascun iscritto.

Sempre stando alle dichiarazioni rilasciate da Loc Mai, tuttavia, l’estensione esegue un’azione che di fatto fa archiviare il token a livello locale, sotto localStorage.touch. Anche se questa azione non è legalmente vietata, effettivamente rappresenta un pericolo per la sicurezza dei dati personali. Infatti un possibile hacker o malintenzionato bravo coi computer potrebbe facilmente ottenere i dati di Facebook usando il medesimo metodo di accesso, dato che il social Facebook espone un token in chiaro che permette una “god mode“, come definita dal ricercatore di sicurezza Zach Edwards. Ciononostante, LOC è ancora disponibile tramite Chrome Web Store, quindi occhio!