Wyszukiwarka telefoniczna na Facebooku może być wykorzystywana do wyszukiwania numerów osób, naukowcy twierdzą, że

Według analityków bezpieczeństwa atakujący mogą nadużywać funkcji wyszukiwania telefonu przez Facebooka, aby znaleźć ważne numery telefonów i nazwiska ich właścicieli.

Atak jest możliwy, ponieważ Facebook nie ogranicza liczby wyszukiwań numeru telefonu, które mogą być wykonywane przez użytkownika za pośrednictwem mobilnej wersji jego strony internetowej, Suriya Prakash, niezależny badacz bezpieczeństwa powiedział w niedawnym poście na blogu.

Facebook umożliwia użytkownikom powiązanie ich numerów telefonów z ich kontami. Jeśli tak, numer telefonu komórkowego jest wymagany do weryfikacji nowego konta Facebook i odblokowania funkcji, takich jak przesyłanie wideo lub personalizacja adresów osi czasu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Podczas dodawania numerów telefonów w w sekcji "Informacje kontaktowe" na swoich stronach profilowych na Facebooku, użytkownicy mogą wybrać, czy chcą, aby te informacje były widoczne dla ogółu, tylko dla ich przyjaciół, czy też chcą zachować je dla siebie, co jest dobrą opcją prywatności.

Facebook umożliwia także znajdowanie innych osób na stronie, wyszukując numery telefonów tych osób w formacie międzynarodowym.

Użytkownicy mogą kontrolować, kto może je zlokalizować za pomocą tej metody, korzystając z opcji "Ustawienia prywatności"> "Jak Ty Połącz ">" Kto może Cię wyszukać, używając adresu e-mail lub podanego numeru telefonu? " który jest domyślnie ustawiony na "Wszyscy".

Oznacza to, że nawet jeśli ustawisz widoczność numeru telefonu na "Tylko mnie" na stronie profilu, każdy, kto zna Twój numer telefonu, będzie mógł Cię znaleźć na Facebooku, chyba że zmienisz drugie ustawienie na "Przyjaciele" lub "Przyjaciele znajomych". Nie ma opcji, aby uniemożliwić każdemu znalezienie Twojego profilu za pomocą Twojego numeru telefonu.

Ponieważ większość ludzi nie zmienia domyślnej wartości tego ustawienia, osoba atakująca może wygenerować listę kolejnych numerów telefonów w wybranym zasięg - na przykład od konkretnego operatora - i użyj pola wyszukiwania na Facebooku, aby odkryć, do kogo należą, powiedział Prakash. Łączenie losowego numeru telefonu z nazwą to marzenie każdego reklamodawcy, a tego rodzaju listy przyniosłyby dużą cenę na czarnym rynku, powiedział.

Prakash twierdzi, że podzielił się tym scenariuszem ataku z zespołem ochrony Facebooka w sierpniu i po Początkowa odpowiedź 31 sierpnia. Wszystkie jego e-maile pozostały bez odpowiedzi do 2 października, kiedy przedstawiciel Facebooka odpowiedział i stwierdził, że szybkość, z jaką użytkownicy mogą znaleźć się na stronie internetowej w dowolny sposób, w tym numery telefonów, jest ograniczona.

Jednak mobilna wersja strony Facebooka - m.facebook.com - nie ma ograniczeń w zakresie liczby wyszukiwań, powiedział Prakash.

Naukowiec wygenerował liczby z przedrostkami USA i Indii i stworzył prosty dowód skrypt pojęciowy concept (PoC), który wyszukiwał je na Facebooku i zapisywał te, które zostały skojarzone z profilami na Facebooku, wraz z nazwami ich właścicieli.

Prakash powiedział, że zdecydował publicznie ujawnić lukę w zabezpieczeniach kilka dni na rufie er wysyłając swój skrypt PoC do Facebooka, ponieważ firma nie odpowiedziała. Prakash opublikował nawet 850 częściowo zaciemnionych numerów telefonów i powiązanych nazw, które, jak twierdził, stanowiły bardzo małą część danych, które uzyskał podczas swoich testów.

"Minęło około tygodnia, odkąd zacząłem go prowadzić i nadal nie mam został zablokowany ", powiedział Prakash w poniedziałek za pośrednictwem poczty elektronicznej. "Nawet poinformowałem ich [Facebook] dziś rano (czas indyjski) wciąż nie ma odpowiedzi."

Facebook nie zwrócił prośby o komentarz wysłany w poniedziałek.

Inny badacz testuje

Po publicznym ujawnieniu Prakasha, Tyler Borland, analityk bezpieczeństwa z dostawcą bezpieczeństwa sieci Alert Logic, stworzył jeszcze skuteczniejszy skrypt, który może uruchomić do dziesięciu procesów wyszukiwania telefonu na Facebooku w tym samym czasie. Skrypt Borlanda nazywa się "robotem telefonicznym na Facebooku" i może wyszukiwać numery telefonów z zakresu określonego przez użytkownika.

"Dzięki ustawieniom domyślnym byłem w stanie zweryfikować dane dla 1 numeru telefonu na sekundę", powiedział w poniedziałek mailem Borland. "Oni [Facebook] nie stosują żadnego ograniczenia stawki lub nie osiągnąłem jeszcze tego limitu Ponownie wysłałem setki żądań w krótkich odstępach czasu i nic się nie stało."

Z skryptem Borlanda na dużym botnet - ponad 100 000 komputerów - atakujący mógłby znaleźć numery telefonów i nazwy większości użytkowników Facebooka z numerami komórkowymi powiązanymi z ich kontami w ciągu kilku dni, powiedział Prakash.

To niepokojące, że ta luka jest nadal otwarta i dostępne narzędzia publiczne do jej wykorzystania - powiedział w poniedziałek Bogdan Botezatu, starszy analityk ds. e-zagrożeń w firmie antywirusowej Bitdefender. Bardzo niewielu użytkowników zmienia swoje domyślne ustawienia prywatności, powiedział.

Jest to kolejny przykład tego, jak wspaniała funkcja może zostać wykorzystana, jeśli mechanizmy bezpieczeństwa są słabo zaimplementowane lub są całkowicie pomijane, powiedział Botezatu. "W odróżnieniu od wiadomości e-mail lub komentarzy na blogach, kontaktowanie się z użytkownikiem telefonicznie jest o wiele bardziej skuteczne w ataku polegającym na wyłudzaniu włóczni [voice phishing], głównie dlatego, że użytkownik komputera nie jest świadomy faktu, że jego numer telefonu mógł trafić do W połączeniu z informacjami o użytkownikach w ich profilu, atakujący może przekonać użytkownika do przekazania danych osobowych w mgnieniu oka. "

Ataki phishingowe i inne rodzaje oszustw telefonicznych są powszechne, a ich wskaźnik sukcesu jest już wysoki, Botezatu powiedział.

"Teraz wyobraź sobie, że ci oszuści zwracają się do ciebie po imieniu i zapisują swoje oświadczenia z informacją o twoim pobraniu prosto z twojego profilu [Facebook]." Botezatu powiedział.