Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
23 juin 2011 4 23 /06 /juin /2011 00:24

For non-French speaking people, I suggest you to use http://translate.google.com/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=fr&tl=en&u=http%3A%2F%2Fwww.ph-v.net%2Farticle-socialbox-de-facebook-et-la-securite-77526428.html

 

 

Ayant reçu l'invitation suivante, j'ai préféré ne pas la jeter aux indésirables et jouer le jeu :


invit_FB_appli-SocialBox_230611.JPG

 

J'ai donc cliqué sur le lien "de téléchargement". Au passage, je ne sais toujours pas qui, de mes contacts, m'a invité sur SocialBox...

 

Première surprise, un clic sur le lien m'amène sur l'avertissement Facebook suivant :

acces_FB_appli-SocialBox_230611.JPG

 

Je ne vois pas trop le lien avec l'application SocialBox, mais il semble qu'il faille rabaisser la sécurité de Facebook (ie désactiver le HTTPS) pour y accéder. Pas très rassurant. Je tente quand même...

 

Là, on me demande mon accord pour que l'application, que je n'ai pas vue, accède à mes données. Ok sur le principe, mais concrètement, je ne sais toujours pas où je vais...

 

autor_FB_appli-SocialBox_230611.JPG

 

Ok, je tente (toujours)...

 

J'arrive enfin au téléchargement de l'application. Tiens, un avertissement Adobe AIR apparaît. C'est du du Flash, porté à l'extérieur du navigateur.

 

telecharg_appli-SocialBox_230611.JPG

 

On remarquera qu l'avertissement parle de SocialBox, avec sa version (1.96.23.air), mais surtout, que l'application est sur le nuage d'Amazon : s3.amazonaws.com. Donc, l'application n'est en soi pas hébergée par Facebook. Est-ce une application officielle ? difficile à dire en l'état.


Je vais donc pousser plus loin et faire "ouvrir".

 

A ce moment-là, la sécurité applicative AIR intervient. Un message me demande de confirmer que je veux installer l'application sur mon ordinateur :

 

verif_appli-SocialBox_230611.JPG

 

Il apparaît donc qu'en fait, c'est Zoosk qui a signé l'application. Pas Facebook, pas Amazon. Comment faire le lien, comment être sûr qu'il s'agit bien d'une application légitime et officielle ?

Zoosk est plus connu pour son système de rencontres amoureuses proche de meetic...

 

Je tente encore en faisant "installer".

 

La, c'est une acceptation de la licence d'utilisation qui est nécessaire, la fameuse EULA. Tout en anglais, je me demande comment les non anglophones et non juristes, pourront s'y retrouver.

Mais toujours OK sur le principe.

EULA_appli-SocialBox_230611.JPG

 

Je vais donc accepter !

 

Bilan : ai-je installé une application officielle Facebook ? aucune idée réelle.

Cette application a demandé des accès à mon compte, que j'ai du valider avant d'apprendre qu'elle n'était pas signée par Facebook... mes données personnelles vont-elles être compromises ? je ne le sais.

 

Bref, en l'état, je ne peux recommander d'utiliser cette application ni ce mode de publication d'applications facebook !

 

--------------------------------------------------------------------------------------------------------------------------------------------------

 

Niveau protocolaire :

 

Quelques surprises, bonnes et mauvaises :

 

Les destinations des requêtes :

Non, il n'y a pas que Facebook...Voici une capture réalisée en lançant SocialBox, session préalablement fermée :

proto_DNS-SocialBox_230611-copie-3.JPG

 

Le cache DNS local de la machine jouant, les réponses ne sont pas toutes visibles.

 

Voici la liste miniale des domaines qui semblent nécessaires :

- canary.msg.zoosk.com

- api.facebook.com

- www.google-analytics.com

- dodafhx8iz0gg.cloudfront.net

- login.socialbox.com

- chat.facebook.com

- graph.facebook.com

- www.facebook.com

- static.ak.fbcdn.net

- chat.facebook.com

 

Au passage, il est notable que l'authentification de session se fait avec login.socialbox.net. Facebook aurait donc mis un SSO entre leurs infrastructures et celles de socialbox.net ?

 

 

Le protocole de chat :

C'est du Jabber !

Port destination TCP 5222. Je doute qu'il soit ouvert sur les pare-feux des entreprises ayant une vraie architecture de filtrage des accès vers Internet... une charge en perspective pour les administrateurs réseau, les assistances utilisateurs, et les acteurs sécurité !

 

Mais surtout, le chat se fait en clair !

 

proto_msg-SocialBox_230611-copie-1.JPG

Comme on peut le voir, le mot "bye" a bien été envoyé au contact de la session Facebook.

 

 

L'authentification :

Est bien chiffrée en TLS v1, donc cela semble plutôt sérieux.

Elle se fait avec api.facebook.com au départ. Puis, avec login.socialbox.com.


 

 

Les autres requêtes :

En fait, la toute première requête pour ouvrir l'interface d'authentification, se fait vers canary.msg.zoosk.com.

Elle indique en "agent utilisateur" :

Mozilla/5.0 (Windows; U; fr-FR) AppleWebKit/531.9 (KHTML, like Gecko) AdobeAIR/2.7

Tiens, pourtant, Safari (pour Webkit ?) n'est pas installé sur la machine.

 

 

Après authentification, il semble que SocialBox envoie régulièrement ce qui pourrait être une signature de la configuration de l'utilisateur. Exemple de requête :

 GET /__utm.gif?utmwv=4.3as&utmn=2107487742&utmt=event&utme=5(login*login%20-%201.96.13)&utmcs=UTF-8&utmsr=1680x1050&utmsc=24-bit&utmul=fr&utmje=0&utmfl=10.3%20r181&utmhid=1232853870&utmr=-&utmp=&utmac=UA-20714458-3&utmcc=__utma

Eléments reconnaissables, par extrapolation :

- &utmfl=10.3 : Flash, effectivement en version 10.3 sur la machine

- &utmsr=1680x1050&utmsc=24-bit : configuration écran, 24 bits en 1680 par 1050...

- &utmcs=UTF-8 : encoage des caractères par défaut accepté sur le système ?

- &utme=5(login*login%20-%201.96.13) : version de l'application SocialBox, effectivement en 1.96.13

 

En fait, cette requête est envoyée à l'adresse IP : 74.125.39.139   qui est, comme l'indique le champ "host" de HTTP : www.google-analytics.com !


Ainsi donc, Facebook et/ou l'application SocialBox, feraient des statistiques d'audience via Google Analytics ?

 

 

Mise à jour 1 :

 

Il semble que Facebook ait adopté la logique de Google, pour le déploiement automatique et "forcé" des mises à jour de son application.

 

Ci-dessous, quelques exemples de notification :

 

Le 24/06/2011 :

MaJ-SocialBox_240611.JPG

 

 

Les notes de publication ne sont pas très bavardes...

 

Puis, le 01/07/11 :


MaJ-SocialBox_010711.JPG

 

A ce rythme-là, on sera en version 10 en moins de 6 mois... mais quels sont réellement les changements apportés à l'application ? cela semble opaque.

 

Le 23/07/11:

 

MaJ-SocialBox_230711.JPG

 

Toujours aucune info sur les modifications apportées à l'application... par contre, les privilèges administrateur sont encore nécessaires pour l'installation...

 

 

-------------------------------------------------------------------------------------------------

 

Côté antivirus

 

42 moteurs antiviraux différents (en version ligne de commande) ne disent rien pour la version 2.108.5 de SocialBox :

Antivirus Version Last update Result
AhnLab-V3 2011.07.02.00 2011.07.01 -
AntiVir 7.11.10.197 2011.07.01 -
Antiy-AVL 2.0.3.7 2011.07.01 -
Avast 4.8.1351.0 2011.07.01 -
Avast5 5.0.677.0 2011.07.01 -
AVG 10.0.0.1190 2011.07.01 -
BitDefender 7.2 2011.07.01 -
CAT-QuickHeal 11.00 2011.07.01 -
ClamAV 0.97.0.0 2011.07.01 -
Commtouch 5.3.2.6 2011.07.01 -
Comodo 9244 2011.07.01 -
DrWeb 5.0.2.03300 2011.07.01 -
eSafe 7.0.17.0 2011.06.29 -
eTrust-Vet 36.1.8421 2011.07.01 -
F-Prot 4.6.2.117 2011.07.01 -
F-Secure 9.0.16440.0 2011.07.01 -
Fortinet 4.2.257.0 2011.07.01 -
GData 22 2011.07.01 -
Ikarus T3.1.1.104.0 2011.07.01 -
Jiangmin 13.0.900 2011.07.01 -
K7AntiVirus 9.107.4863 2011.07.01 -
Kaspersky 9.0.0.837 2011.07.01 -
McAfee 5.400.0.1158 2011.07.01 -
McAfee-GW-Edition 2010.1D 2011.07.01 -
Microsoft 1.7000 2011.07.01 -
NOD32 6258 2011.07.01 -
Norman 6.07.10 2011.07.01 -
nProtect 2011-07-01.01 2011.07.01 -
Panda 10.0.3.5 2011.07.01 -
PCTools 8.0.0.5 2011.07.01 -
Prevx 3.0 2011.07.01 -
Rising 23.64.04.03 2011.07.01 -
Sophos 4.67.0 2011.07.01 -
SUPERAntiSpyware 4.40.0.1006 2011.07.01 -
Symantec 20111.1.0.186 2011.07.01 -
TheHacker 6.7.0.1.246 2011.07.01 -
TrendMicro 9.200.0.1012 2011.07.01 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.01 -
VBA32 3.12.16.4 2011.07.01 -
VIPRE 9743 2011.07.01 -
ViRobot 2011.7.1.4544 2011.07.01 -
VirusBuster 14.0.105.2 2011.07.01 -
MD5: b8489a7be4650d393ee07510bf941190
SHA1: 17becc34c4e3ab8557f82671d692d3c2ad7f9ab7
SHA256: 6f4dfc366db28de862036e92076f1ab275f1d61b14825bc41362689ac06a69fa
File size: 142848 bytes
Scan date: 2011-07-01 20:47:38 (UTC)

 

 

Toutefois, pour Microsoft Windows Defender, socialbox.exe semblerait suspect, et "devrait leur être envoyé", afin d'améliorer l'efficacité du programme :

 

avis_WinDefender_socialbox_010711.jpg

 

Espérons que le support Microsoft est bien dimensionné, car il risque de recevoir une pluie de fichiers "socialbox.exe" !

 

NB : du coup, il me semble intéressant de noter que SocialBox a été déplacé sur le disque, il est passé de users\username\appdata\roaming\socialbox, à  program files (x86)\sociabox

Partager cet article

Repost0

commentaires

chr 25/07/2011 01:40


merci jai recu cette demande jai trouve ca suspect car jai mis facebook en message indesirable et ca a aparut en recu sur ma boite mais je pense que ces un trojean car jai des souci avec un hackers
et com par hasart ces la premiere fois que je recoit ce type de message coincidence ou pas je sais pas mais je prendré surtou pas le risque de l'ouvrire


Kolt 09/07/2011 13:25


Merci pour le test ! J'ai aussi reçu une invit' sans savoir de qui elle provenait... Louche et pas transparent ! De toute façon, si je veux chater sur sans navigateur sur fb, j'utilise adium...
Bien mieux intégrer à l'OS.