Facebooks telefonsøgning kan misbruges for at finde folks tal, siger forskere

Angreb kan misbruge Facebooks telefonfunktion for at finde gyldige telefonnumre og navn på deres ejere, ifølge sikkerhedsforskere.

Angrebet er muligt, fordi Facebook begrænser ikke antallet af telefonnummersøgninger, der kan udføres af en bruger via den mobile version af sit websted, Suriya Prakash, en uafhængig sikkerhedsforsker sagde i et nyligt blogindlæg.

Facebook giver brugerne mulighed for at knytte deres telefonnumre med deres konti. Hvis det er rigtigt, kræves et mobilnummer for at verificere enhver ny Facebook-konto og låse op funktioner som videooploading eller tidslinje-URL-personalisering.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Når du tilføjer telefonnumre i "Kontaktoplysninger" på deres respektive Facebook-profilsider kan brugerne vælge, om de vil gøre disse oplysninger synlige for offentligheden, kun til deres venner eller hvis de vil beholde det til sig selv, hvilket er en god privatlivsmulighed.

Facebook giver også brugere mulighed for at finde andre mennesker på hjemmesiden ved at søge efter folks telefonnumre i internationalt format.

Brugere kan styre hvem der kan finde dem ved hjælp af denne metode ved hjælp af en mulighed under "Privacy Settings"> "Hvordan du Forbind ">" Hvem kan se dig op med den e-mail-adresse eller telefonnummer du har angivet? " som som standard er indstillet til "Alle".

Dette betyder, at selvom du angiver dit telefonnummers synlighed til "Kun mig" på din profilside, kan enhver, der kender dit telefonnummer, stadig finde dig på Facebook medmindre du ændrer den anden indstilling til "Venner" eller "Venner af venner". Der er ingen mulighed for at forhindre alle i at finde din profil ved hjælp af dit telefonnummer.

Da de fleste ikke ændrer standardværdien af ​​denne indstilling, er det muligt for en hacker at generere en liste over sekventielle telefonnumre inden for en valgt rækkevidde - for eksempel fra en bestemt operatør - og brug Facebooks søgefelt til at opdage, hvem de tilhører, sagde Prakash. Tilslutning af et tilfældigt telefonnummer til et navn er hver annoncørs drøm, og disse slags lister ville hente en stor pris på det sorte marked, sagde han.

Prakash hævder, at han delte dette angrebsscenario med Facebooks sikkerhedshold i august og efter en første svar den 31. august var alle hans e-mails ubesvarede indtil 2. oktober, da en Facebook-repræsentant reagerede og sagde, at den hastighed, hvormed brugerne kan findes på hjemmesiden på ethvert middel, herunder telefonnumre, er begrænset.

Den mobile version af Facebooks hjemmeside-m.facebook.com-synes ikke at have nogen begrænsning af søgefrekvensen, siger Prakash.

Forskeren genererede tal med USA og Indien land prefikser og skabte en simpel proof-of- koncept (PoC) makro script, der søgte efter dem på Facebook og gemte dem, der blev fundet at være forbundet med Facebook profiler sammen med navnene på deres ejere.

Prakash sagde at han besluttede at offentliggøre sårbarheden et par dage offentligt agterste Han sender sit PoC script til Facebook, fordi virksomheden ikke reagerede. Prakash offentliggjorde endog 850 delvist forvirrede telefonnumre og tilhørende navne, som han hævdede repræsenterede en meget lille del af de data, han opnåede under sine test. "Det har gået en uge siden jeg begyndte at køre det, og jeg har stadig ikke blevet blokeret, "sagde Prakash mandag via email. "Jeg har endda informeret dem [Facebook] om morgenen (indisk tid) stadig ikke noget svar."

Facebook returnerede ikke en anmodning om kommentar sendt mandag.

En anden forsker test

Efter Prakashs offentliggørelse, Tyler Borland, en sikkerhedsforsker med netværkssikkerhedsleverandør Alert Logic, skabte et endnu mere effektivt script, der kan køre op til ti Facebook-telefonsøgeprocesser på samme tid. Borlands script kaldes "Facebook-telefoncrawler" og kan søge efter telefonnumre fra et brugerdefineret område.

"Med standardindstillinger kunne jeg bekræfte data for 1 telefonnummer hvert sekund," sagde Borland via e-mail på mandag. "De [Facebook] bruger ikke nogen form for takstbegrænsning, eller jeg har ikke ramt den grænse endnu. Igen sendte jeg hundredvis af anmodninger inden for korte tidspunkter, og der skete intet."

Med Borlands script kører på en stor botnet-over 100.000 computere - en angriber kunne finde telefonnumre og navne på de fleste Facebook-brugere med mobilnumre i forbindelse med deres konti i løbet af få dage, siger Prakash.

Det er foruroligende, at denne sårbarhed stadig er åben, og der er offentlige værktøjer til rådighed for at udnytte det, sagde Bogdan Botezatu, en senior e-trussel analytiker hos antivirusleverandør Bitdefender, via e-mail på mandag. Meget få brugere ændrer deres standardindstillinger for beskyttelse af personlige oplysninger, sagde han.

Dette er et andet eksempel på, hvordan en god funktion kan ende med at blive misbrugt, hvis sikkerhedsmekanismerne er dårligt implementeret eller helt mangler, sagde Botezatu. "I modsætning til e-mail-meddelelser eller blogkommentarer er det langt mere effektivt at henvende sig til en bruger via telefon i et spear vishing [voice phishing] angreb, for det meste fordi computerbrugeren ikke er opmærksom på, at hans telefonnummer måske er endt i Forkert hænder. Sammen med brugeroplysningerne i deres profil kan en angriber overbevise brugeren om at levere personlige oplysninger på ingen tid. "

Stemmefiskeangreb og andre typer af svindel er almindelige, og deres succesrate er allerede høj, Botezatu sagde.

"Forestil dig nu, at disse skurke adresserer dig med dit fulde navn og sikkerhedskopierer deres udsagn med oplysninger om dig taget direkte fra din [Facebook] profil." Botezatu sagde.