Facebook'un telefon aramalarında insanların sayılarını bulmak için suistimal edilebilir, araştırmacılar

Saldırganlar, güvenlik araştırmacılarına göre Facebook'un telefon arama özelliğini kötüye kullanabilir ve güvenlik sahiplerine göre geçerli telefon numaralarını ve sahiplerinin isimlerini kullanabilir.

Saldırı mümkün çünkü Facebook

Facebook kullanıcıların telefon numaralarını ilişkilendirebilmelerini sağlar. hesapları ile. Gerçekte, herhangi bir yeni Facebook hesabını doğrulamak ve video yükleme veya zaman çizelgesi URL'si kişiselleştirmesi gibi özelliklerin kilidini açmak için bir cep telefonu numarası gerekir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Telefon numaralarını eklerken İlgili Facebook profili sayfalarının "İletişim Bilgileri" bölümü, kullanıcılar bu bilgileri genel olarak herkese görünür hale getirmek isteyip istemediklerini, yalnızca arkadaşlarına veya kendilerine saklamak istiyorlarsa iyi bir gizlilik seçeneği olarak seçebilirler.

Facebook aynı zamanda kullanıcıların uluslararası formatta bu telefon numaralarını arayarak web sitesindeki diğer kişileri bulmalarına da izin veriyor.

Kullanıcılar, "Gizlilik Ayarları"> "Nasıl Yapılır?" ">" Bağlantıyı sağladığınız e-posta adresini veya telefon numarasını kullanarak kim arayabilir? " varsayılan olarak "Herkes" olarak ayarlanmıştır.

Bu, telefon numaranızın görünürlüğünü profil sayfanızda "Sadece" olarak ayarlasanız bile, telefon numaranızı bilen herkesin sizi Facebook'ta bulabileceği anlamına gelmez. ikinci ayarı "Arkadaşlar" veya "Arkadaşların Arkadaşları" olarak değiştirirsiniz. Herkesin profilinizi telefon numaranızı kullanarak bulmasını engellemek için bir seçenek yoktur.

Çoğu insan bu ayarın varsayılan değerini değiştirmediğinden, bir saldırganın seçilen bir sıralı telefon numaralarının listesini oluşturması mümkündür. Örneğin, belirli bir operatörden menzile - ve kimin ait olduklarını keşfetmek için Facebook'un arama kutusunu kullandığını, Prakash dedi. Rastgele bir telefon numarasının bir isme bağlanması, her reklamcının rüyasının ve bu tür listelerin karaborsada büyük bir fiyat getireceğini söyledi.

Prakash, bu saldırı senaryosunu Ağustos ayında Facebook'un güvenlik ekibiyle paylaştığını ve bir 31 Ağustos'taki ilk yanıt e-postalarının tamamının bir Facebook temsilcisinin yanıt verdiği 2 Ekim'e kadar cevapsız kaldı ve kullanıcıların telefon numaraları dahil olmak üzere herhangi bir yolla web sitesinde bulunma oranlarının kısıtlı olduğunu belirtti.

Ancak, Facebook'un web sitesinin m.facebook.com sitesinin mobil versiyonu herhangi bir arama oranı sınırlamasına sahip görünmüyor, Prakash dedi.

Araştırmacı, ABD ve Hindistan ülke önekleriyle rakamlar üretti ve basit bir kanıt oluşturdu. Facebook'ta arama yapan (PoC) Makro senaryosu ve Facebook profilleriyle ilişkilendirilmiş olanları, sahiplerinin isimleriyle birlikte kurtardı.

Prakash, birkaç gün içinde açıkları kamuya açıklamaya karar verdiğini söyledi. kıçta PoC komut dosyasını Facebook'a gönderiyor, çünkü şirket cevap vermiyordu. Hatta Prakash, 850 kısmen gizlenmiş telefon numarası ve ilgili isimleri, testlerinde elde ettiği verilerin çok küçük bir bölümünü temsil ettiğini iddia etti.

"Çalışmaya başladığımdan beri yaklaşık bir hafta oldu ve ben hala engellendi, "Prakash Pazartesi e-posta yoluyla söyledi. “Hatta bugün onları [Facebook] bugün sabah haber verdim (Hint saati) hala cevap vermiyor.”

Facebook Pazartesi günü yapılan bir yorum talebini geri almadı.

Bir başka araştırmacı testi

Prakash'ın kamuya açıklamalarından sonra, Tyler Borland, Ağ güvenliği sağlayıcısı Alert Logic ile bir güvenlik araştırmacısı, aynı anda on Facebook telefon arama işlemlerini çalıştırabilir daha da etkili bir senaryo yarattı. Borland'ın senaryosu "Facebook telefon tarayıcısı" olarak adlandırılıyor ve kullanıcı tarafından belirlenen bir aralıktaki telefon numaralarını arayabiliyor.

Borland, "Varsayılan ayarlarla, saniyede 1 telefon numarası için verileri doğrulayabiliyordum." Dedi. "Onlar [Facebook] herhangi bir oran sınırlaması kullanmıyorlar ya da henüz bu sınırlara ulaşmadım. Yine, kısa zaman aralıkları içinde yüzlerce istek yolladım ve hiçbir şey olmadı."

Borland'ın senaryosu büyüklükte çalışıyor. 100.000 bilgisayardan oluşan botnet-saldırgan, Facebook hesaplarının çoğunun telefon numaralarını ve adlarını günler içinde hesaplarıyla ilişkili cep telefonu numaralarıyla bulabilir, Prakash dedi.

Bu güvenlik açığının hala açık olduğu ve Bunu kamu yararına kullanacak olan araçlar, antivirüs satıcısı Bitdefender'ın kıdemli e-tehdit analisti Bogdan Botezatu’yu Pazartesi günü e-posta yoluyla açıkladı. Çok az sayıda kullanıcının varsayılan gizlilik ayarlarını değiştirdiğini söyledi.

Bu, güvenlik mekanizmalarının zayıf bir şekilde uygulandığı veya tamamen eksik olduğu durumlarda büyük bir özelliğin nasıl suistimal edilebileceğinin bir başka örneğidir Botezatu. "E-posta mesajlarının veya blog yorumlarının aksine, telefonla bir kullanıcıya yaklaşmak, en çok bilgisayar kullanıcısı, telefon numarasının telefon numarasının bittiği gerçeğinin farkında olmaması nedeniyle, bir mızrak avı [ses avcılığı] saldırısında çok daha etkilidir. Yanlış ellerde Kullanıcıların bilgileriyle bir araya geldiğinde, bir saldırgan kullanıcıyı kişisel bilgileri hiçbir zaman vermeyecek şekilde ikna edebilir. "

Sesli kimlik avı saldırıları ve diğer telefon dolandırıcılığı yaygındır ve başarı oranları zaten yüksek, Botezatu

"Şimdi, bu dolandırıcıların tam adınıza hitap ettiklerini ve doğrudan [Facebook] profilinizden aldığınız bilgilerle ilgili ifadelerini yedeklediklerini hayal edin." Botezatu dedi ki