Car-tech

Facebook's zoekopdracht op telefoon kan worden misbruikt om de cijfers van mensen te vinden, zeggen onderzoekers

Het brein van de oudste Amerikaanse president ooit

Het brein van de oudste Amerikaanse president ooit

Inhoudsopgave:

Anonim

Aanvallers kunnen de zoekfunctie van Facebook gebruiken om geldige telefoonnummers en de naam van hun eigenaren te vinden, aldus beveiligingsonderzoekers.

De aanval is mogelijk omdat Facebook beperkt niet het aantal zoekacties naar telefoonnummers die een gebruiker kan uitvoeren via de mobiele versie van zijn website, Suriya Prakash, een onafhankelijke beveiligingsonderzoeker zei in een recente blogpost.

Facebook stelt gebruikers in staat om hun telefoonnummers te associëren met hun rekeningen. Als dit het geval is, is een mobiel telefoonnummer vereist om elk nieuw Facebook-account te verifiëren en functies zoals video-upload of tijdlijn-URL-personalisatie te ontgrendelen.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Wanneer u telefoonnummers toevoegt in in het gedeelte "Contactinfo" van hun respectievelijke Facebook-profielpagina's kunnen gebruikers kiezen of ze deze informatie zichtbaar willen maken voor het grote publiek, alleen voor hun vrienden of als ze het voor zichzelf willen houden, wat een goede privacyoptie is.

Facebook stelt gebruikers ook in staat andere mensen op de website te vinden door te zoeken naar de telefoonnummers van die personen in internationaal formaat.

Gebruikers kunnen bepalen wie ze op deze manier kan vinden via een optie onder "Privacyinstellingen"> "Hoe u Verbinden ">" Wie kan u opzoeken met behulp van het e-mailadres of telefoonnummer dat u heeft opgegeven? " die standaard is ingesteld op "Iedereen".

Dit betekent dat zelfs als u de zichtbaarheid van uw telefoonnummer instelt op "Alleen mij" op uw profielpagina, iedereen die uw telefoonnummer kent, u nog steeds op Facebook kan vinden, tenzij u wijzigt de tweede instelling in 'Vrienden' of 'Vrienden van vrienden'. Er is geen optie om te voorkomen dat iedereen je profiel kan vinden met je telefoonnummer.

Omdat de meeste mensen de standaardwaarde van deze instelling niet wijzigen, is het mogelijk voor een aanvaller om een ​​lijst met telefoonnummers te genereren binnen een gekozen bereik - bijvoorbeeld van een specifieke operator - en gebruik het zoekvak van Facebook om te ontdekken tot wie ze behoren, zei Prakash. Het verbinden van een willekeurig telefoonnummer met een naam is de droom van elke adverteerder en dit soort lijsten zou een grote prijs op de zwarte markt opleveren, zei hij.

Prakash beweert dat hij dit aanvalscenario gedeeld met het beveiligingsteam van Facebook in augustus en na een eerste reactie op 31 augustus waren al zijn e-mails onbeantwoord tot 2 oktober, toen een Facebook-vertegenwoordiger reageerde en zei dat het aantal gebruikers op de website, met inbegrip van telefoonnummers, beperkt is.

De mobiele versie van de website van Facebook, m.facebook.com, lijkt echter geen limiet voor de zoeksnelheid te hebben, aldus Prakash.

De onderzoeker heeft getallen gegenereerd met voorvoegsels voor de VS en India en heeft een eenvoudig bewijs gemaakt van concept (PoC) macro-script dat naar hen op Facebook zocht en degenen die werden gevonden geassocieerd met Facebook-profielen, samen met de namen van hun eigenaren.

Prakash zei dat hij besloot om de kwetsbaarheid een paar dagen publiekelijk bekend te maken achteruit hij stuurde zijn PoC-script naar Facebook omdat het bedrijf niet reageerde. Prakash publiceerde zelfs 850 gedeeltelijk versluierde telefoonnummers en bijbehorende namen die, naar hij beweerde, slechts een klein deel vertegenwoordigden van de gegevens die hij tijdens zijn tests had verkregen.

"Het is ongeveer een week geleden dat ik het begon te gebruiken en ik heb nog steeds geen geblokkeerd, "zei Prakash maandag via e-mail. "Ik heb ze vandaag [Facebook] vandaag (Indiase tijd) nog steeds op de hoogte gesteld."

Facebook heeft maandag geen verzoek om commentaar teruggestuurd.

Een andere onderzoeker test

Na Prakash's openbare onthulling, Tyler Borland, een beveiligingsonderzoeker met Alert Logic, leverancier van netwerkbeveiliging, creëerde een nog efficiënter script dat tegelijkertijd tot tien Facebook-telefoonzoekprocessen kan uitvoeren. Het script van Borland wordt "Facebook phone crawler" genoemd en kan zoeken naar telefoonnummers uit een door de gebruiker opgegeven bereik.

"Met standaardinstellingen kon ik elke seconde gegevens van 1 telefoonnummer verifiëren", zei Borland maandag via e-mail. "Ze [Facebook] gebruiken geen enkele vorm van snelheidsbeperking of ik heb die limiet nog niet bereikt. Nogmaals, ik stuurde honderden verzoeken binnen korte tijdspannes en er gebeurde niets."

Met het script van Borland op een groot aantal botnet - meer dan 100.000 computers - een aanvaller kan de telefoonnummers en namen van de meeste Facebook-gebruikers binnen enkele dagen vinden met mobiele nummers die zijn gekoppeld aan hun accounts, aldus Prakash.

Het is verontrustend dat deze kwetsbaarheid nog steeds open is en er zijn openbare tools beschikbaar om het te exploiteren, zei Bogdan Botezatu, een senior e-threat analist bij antivirus leverancier Bitdefender, via e-mail op maandag. Zeer weinig gebruikers wijzigen hun standaard privacy-instellingen, zei hij.

Dit is nog een voorbeeld van hoe een geweldige functie kan worden misbruikt als veiligheidsmechanismen slecht worden geïmplementeerd of volledig ontbreken, zei Botezatu. "In tegenstelling tot e-mailberichten of blogcommentaar, is het benaderen van een gebruiker telefonisch veel effectiever bij een spear vishing [voice phishing] -aanval, vooral omdat de computergebruiker niet weet dat zijn telefoonnummer mogelijk in de verkeerde handen. In combinatie met de gebruikersinformatie in hun profiel, kan een aanvaller de gebruiker overtuigen om persoonlijke informatie in een mum van tijd over te dragen. "

Spraak-phishingaanvallen en andere vormen van telefonische oplichting komen vaak voor en hun succespercentage is al hoog, Botezatu zei.

"Stel je nu voor dat deze boeven je aanspreken met je volledige naam en een back-up maken van hun verklaringen met informatie over jou die je rechtstreeks uit je [Facebook] -profiel hebt gehaald." Botezatu zei.