Η αναζήτηση τηλεφώνου στο Facebook μπορεί να καταστρατηγηθεί για να βρει αριθμούς ανθρώπων, λένε οι ερευνητές

Οι επιτιθέμενοι μπορούν να καταχραστούν τη λειτουργία αναζήτησης του τηλεφώνου του Facebook για να βρουν έγκυρους αριθμούς τηλεφώνου και το όνομα των ιδιοκτητών τους, σύμφωνα με τους ερευνητές ασφαλείας

δεν περιορίζει τον αριθμό των αναζητήσεων τηλεφωνικού αριθμού που μπορούν να εκτελεστούν από έναν χρήστη μέσω της έκδοσης για κινητά της ιστοσελίδας του, ο Suriya Prakash, ένας ανεξάρτητος ερευνητής ασφάλειας που ανέφερε σε πρόσφατη θέση στο blog.

Το Facebook επιτρέπει στους χρήστες να συνδέουν τους αριθμούς τηλεφώνου τους με τους λογαριασμούς τους. Εάν είναι απαραίτητο, ένας αριθμός κινητού τηλεφώνου απαιτείται για την επαλήθευση οποιουδήποτε νέου λογαριασμού στο Facebook και για ξεκλείδωμα λειτουργιών όπως η μεταφόρτωση βίντεο ή η εξατομίκευση της διεύθυνσης URL χρονικής γραμμής.

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

στην ενότητα "Στοιχεία επικοινωνίας" στις αντίστοιχες σελίδες προφίλ τους στο Facebook, οι χρήστες μπορούν να επιλέξουν εάν θέλουν να κάνουν αυτές τις πληροφορίες ορατές στο ευρύ κοινό, μόνο στους φίλους τους ή αν θέλουν να το κρατήσουν στον εαυτό τους, κάτι που αποτελεί μια καλή επιλογή απορρήτου.

Το Facebook επιτρέπει επίσης στους χρήστες να βρίσκουν άλλα άτομα στον ιστότοπο αναζητώντας τους αριθμούς τηλεφώνου αυτών των ανθρώπων σε διεθνή μορφή.

Οι χρήστες μπορούν να ελέγξουν ποιος μπορεί να τα εντοπίσει χρησιμοποιώντας αυτήν τη μέθοδο μέσω μιας επιλογής στην ενότητα "Ρυθμίσεις απορρήτου" Συνδεθείτε ">" Ποιος μπορεί να σας αναζητήσει χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή τον αριθμό τηλεφώνου που παρείχατε; " το οποίο έχει οριστεί από προεπιλογή σε "Όλοι."

Αυτό σημαίνει ότι ακόμα κι αν ορίσετε την ορατότητα του τηλεφωνικού σας αριθμού στο "Μόνο εγώ" στη σελίδα του προφίλ σας, όσοι γνωρίζουν τον αριθμό τηλεφώνου σας θα μπορούν να σας βρουν στο Facebook, αλλάζετε τη δεύτερη ρύθμιση σε "Φίλοι" ή "Φίλοι φίλων". Δεν υπάρχει επιλογή να εμποδιστεί ο καθένας να εντοπίσει το προφίλ σας χρησιμοποιώντας τον αριθμό τηλεφώνου σας.

Εφόσον οι περισσότεροι άνθρωποι δεν αλλάζουν την προεπιλεγμένη τιμή αυτής της ρύθμισης, είναι δυνατό για έναν εισβολέα να δημιουργήσει μια λίστα με διαδοχικούς αριθμούς τηλεφώνου μέσα σε μια επιλεγμένη για παράδειγμα από έναν συγκεκριμένο φορέα εκμετάλλευσης - και χρησιμοποιήστε το πλαίσιο αναζήτησης του Facebook για να ανακαλύψετε σε ποιον ανήκουν, δήλωσε ο Πρακάς. Η σύνδεση ενός τυχαίου αριθμού τηλεφώνου με ένα όνομα είναι το όνειρο κάθε διαφημιζόμενου και οι κατάλογοι αυτού του είδους θα έφεραν μεγάλη τιμή στη μαύρη αγορά.

Ο Prakash ισχυρίζεται ότι μοιράστηκε αυτό το σενάριο επίθεσης με την ομάδα ασφάλειας του Facebook τον Αύγουστο και μετά αρχική απάντηση στις 31 Αυγούστου όλα τα μηνύματά του πήγαν αναπάντητα μέχρι τις 2 Οκτωβρίου, όταν ένας εκπρόσωπος του Facebook απάντησε και είπε ότι ο ρυθμός με τον οποίο οι χρήστες μπορούν να βρεθούν στον ιστότοπο με οποιοδήποτε μέσο, ​​συμπεριλαμβανομένων των τηλεφωνικών αριθμών, είναι περιορισμένος.

Ωστόσο, η κινητή έκδοση του ιστότοπου του Facebook, m.facebook.com, δεν φαίνεται να έχει περιορισμό του ρυθμού αναζήτησης, δήλωσε ο Prakash.

Ο ερευνητής δημιούργησε αριθμούς με προθέματα χωρών της Αμερικής και της Ινδίας και δημιούργησε μια απλή απόδειξη- (PoC) που τους έψαξε στο Facebook και έσωσε αυτά που βρέθηκαν να συσχετίζονται με τα προφίλ στο Facebook, μαζί με τα ονόματα των ιδιοκτητών τους.

Ο Prakash δήλωσε ότι αποφάσισε να δημοσιοποιήσει το θέμα της ευπάθειας λίγες μέρες πίσω στέλνοντας το σενάριο PoC στο Facebook, επειδή η εταιρεία δεν απάντησε. Ο Prakash δημοσίευσε 850 ακόμη και μερικώς κρυμμένους αριθμούς τηλεφώνου και συναφή ονόματα τα οποία, όπως ισχυρίστηκε, αντιπροσώπευαν ένα πολύ μικρό μέρος των δεδομένων που έλαβε κατά τη διάρκεια των δοκιμών του.

«Έχει περάσει περίπου μια εβδομάδα από τότε που άρχισα να το τρέχω και δεν έχω ακόμα μπλοκαριστεί ", δήλωσε ο Πρακάς τη Δευτέρα μέσω ηλεκτρονικού ταχυδρομείου. "

Το Facebook δεν έστειλε αίτημα για σχόλιο που έστειλε τη Δευτέρα

Ένας άλλος ερευνητής δοκιμάζει

Μετά την δημοσιοποίηση του Prakash, ο Tyler Borland, ένας ερευνητής ασφάλειας με τον πωλητή ασφάλειας δικτύου Alert Logic, δημιούργησε ένα ακόμη αποτελεσματικότερο σενάριο που μπορεί να τρέξει μέχρι και δέκα διαδικασίες αναζήτησης τηλεφώνου στο Facebook την ίδια στιγμή. Το σενάριο του Borland ονομάζεται "ανιχνευτής τηλεφώνων Facebook" και μπορεί να αναζητήσει τηλεφωνικούς αριθμούς από μια περιοχή που καθορίζεται από το χρήστη.

"Με τις προεπιλεγμένες ρυθμίσεις μπορώ να επαληθεύσω τα δεδομένα για έναν αριθμό τηλεφώνου κάθε δευτερόλεπτο", δήλωσε ο Borland μέσω ηλεκτρονικού ταχυδρομείου τη Δευτέρα. "Αυτά [το Facebook] δεν χρησιμοποιούν κανένα είδος περιορισμού του επιτοκίου ή δεν έχω πετύχει ακόμα το όριο αυτό. Και πάλι, έστειλα εκατοντάδες αιτήσεις μέσα σε σύντομα χρονικά διαστήματα και δεν συνέβη τίποτα."

Με το σενάριο του Borland να τρέχει σε μεγάλο botnet - πάνω από 100.000 υπολογιστές - ένας εισβολέας θα μπορούσε να βρει τους αριθμούς τηλεφώνου και τα ονόματα των περισσότερων χρηστών του Facebook με αριθμούς κινητού τηλεφώνου που συνδέονται με τους λογαριασμούς τους σε λίγες μέρες, δήλωσε ο Prakash.

Είναι ανησυχητικό το γεγονός ότι αυτή η ευπάθεια είναι ακόμα ανοικτή και υπάρχουν δημόσια εργαλεία που είναι διαθέσιμα για την εκμετάλλευσή του, δήλωσε ο Bogdan Botezatu, ένας ανώτερος αναλυτής ηλεκτρονικής απειλής στον αντιπρόσωπο του BitDefender, μέσω ηλεκτρονικού ταχυδρομείου τη Δευτέρα. Πολλοί λίγοι χρήστες αλλάζουν τις προεπιλεγμένες ρυθμίσεις απορρήτου τους, δήλωσε.

Αυτό είναι ένα άλλο παράδειγμα για το πώς ένα μεγάλο χαρακτηριστικό μπορεί να καταλήξει σε κακοποίηση εάν οι μηχανισμοί ασφαλείας δεν εφαρμοστούν σωστά ή λείπουν εντελώς, δήλωσε ο Botezatu. "Σε αντίθεση με τα μηνύματα ηλεκτρονικού ταχυδρομείου ή τα σχόλια του ιστολογίου, η προσέγγιση ενός χρήστη μέσω τηλεφώνου είναι πολύ πιο αποτελεσματική σε μια επίθεση κατά της φωνής [phishing], κυρίως επειδή ο χρήστης του υπολογιστή δεν έχει επίγνωση του γεγονότος ότι ο αριθμός τηλεφώνου του μπορεί να κατέληξε στο "

Οι επιθέσεις φωνής φωνής και άλλοι τύποι απάτης τηλεφώνου είναι συνηθισμένοι και το ποσοστό επιτυχίας τους είναι ήδη υψηλό, το Botezatu

"Τώρα φανταστείτε ότι αυτοί οι απατεώνες σάς απευθύνονται με το πλήρες όνομά σας και δημιουργείτε αντίγραφα των δηλώσεών τους με πληροφορίες σχετικά με εσάς που τραβήξατε απευθείας από το προφίλ σας στο [Facebook]". Είπε ο Botezatu.