Facebookin puhelinkyselyä voidaan käyttää väärin ihmisten lukumäärän löytämiseksi, tutkijat sanovat

Hyökkääjät voivat väärinkäyttää Facebookin puhelinhaun ominaisuutta löytääkseen voimassa olevat puhelinnumerot ja omistajiensa nimet turvallisuusasiantuntijoiden mukaan.

Hyökkäys on mahdollista, koska Facebook ei rajoita niiden puhelinnumeroiden hakujen lukumäärää, joita käyttäjä voi suorittaa verkkosivustonsa mobiiliversion kautta, riippumaton tietoturva-tutkija Suriya Prakash sanoi äskettäisessä blogikirjastossa.

Facebookin avulla käyttäjät voivat yhdistää puhelinnumerot heidän tilinsä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Kun lisäät puhelinnumeroita puhelimeen, siirry puhelinnumeroosi Facebook-profiilisivujen "Yhteystiedot" -osiosta käyttäjät voivat valita, haluavatko nämä tiedot näkyä suurelle yleisölle, vain heidän ystävilleen tai jos he haluavat säilyttää itsensä, mikä on hyvä yksityisyysvaihtoehto.

Facebook antaa käyttäjille myös mahdollisuuden etsiä muita ihmisiä verkkosivuilla etsimällä kyseisten ihmisten puhelinnumeroita kansainvälisessä muodossa.

Käyttäjät voivat hallita niitä, jotka löytävät heidät tämän menetelmän kautta tietosuoja-asetuksissa> "Miten Yhdistä ">" Kuka voi etsiä sinua käyttämällä antamasi sähköpostiosoitetta tai puhelinnumeroa? " joka on oletusarvoisesti "Kaikki".

Tämä tarkoittaa sitä, että vaikka olet määrittänyt puhelinnumerosi näkyvyyden vain "Minä vain" profiilisivullasi, kaikki, jotka tietävät puhelinnumerosi, voivat edelleen löytää sinut Facebookissa, ellei muutat toisen asetuksen "Ystävät" tai "Ystävät ystävät". Ei ole mitään vaihtoehtoa estää kaikkia löytämään profiilisi puhelinnumerosi avulla.

Koska useimmat ihmiset eivät muuta tämän asetuksen oletusarvoa, hyökkääjä voi luoda luettelon peräkkäisistä puhelinnumeroista valitussa alueelta - esimerkiksi tietystä operaattorista - ja käytä Facebookin hakukenttää selvittääkseen, ketkä kuuluvat, Prakash sanoi. Yhden satunnaisen puhelinnumeron yhdistäminen nimiin on jokaisen mainostajan unelma, ja tällaiset luettelot hakevat suuren hinnan mustilla markkinoilla, hän sanoi.

Prakash väittää, että hän jakoi tämän hyökkäysskenaarin Facebookin tietoturvaryhmän kanssa elokuussa ja sen jälkeen, kun ensimmäinen vastaus 31. elokuuta kaikki hänen sähköpostejaan ei vastattu 2. lokakuuta, jolloin Facebook-edustaja vastasi ja ilmoitti, että kurssin, jolla käyttäjät voivat löytää verkkosivustolla millä tahansa keinolla, mukaan lukien puhelinnumerot, on rajoitettu.

Facebook-verkkosivustossa m.facebook.com -mobiiliversiolla ei kuitenkaan näytä olevan hakuprosentin rajoitusta, Prakash totesi.

Tutkija luotiin numeroita Yhdysvaltojen ja Intian maan etuliitteillä ja loi yksinkertaisen proof-of- konsepti (PoC) makroskooppi, joka etsii heitä Facebookista ja tallensi ne, jotka havaittiin liittyvän Facebook-profiileihin ja omistajiensa nimet.

Prakash sanoi, että hän päätti julkistaa haavoittuvuuden muutaman päivän perä- er lähettää PoC-skriptinsa Facebookille, koska yritys ei vastannut. Prakash julkaisi jopa 850 osittain hämmentyneitä puhelinnumeroita ja niihin liittyviä nimiä, jotka hän väitti olevan hyvin pieni osa hänen testiensa aikana saamistaan ​​tiedoista.

"Noin viikon kuluttua aloitin sen suorittamisen, enkä vielä ole on estetty ", Prakash sanoi maanantaina sähköpostitse.

Toinen tutkija testejä

Prakashin julkistamisen jälkeen Tyler Borland, joka kertoi, turvallisuustutkija, jossa on verkkoturvallisuusmyyjä Alert Logic, loi vielä tehokkaamman komentosarjan, joka voi käyttää jopa kymmenen Facebook-puhelimen hakuprosessia samanaikaisesti. Borlandin käsikirjoitus on nimeltään "Facebook-puhelinrobotti" ja se voi etsiä puhelinnumeroita käyttäjän määrittämältä alueelta.

"Oletusasetuksilla pystyttiin varmistamaan yhden puhelinnumeron tiedot joka toinen," Borland sanoi maanantaina sähköpostitse. "He [Facebook] eivät käytä lainkaan minkäänlaista koronrajoitusta tai en ole vielä saavuttanut tätä rajaa. Jälleen lähetin satoja pyyntöjä lyhyillä aikaväleillä, eikä mitään tapahtunut."

Borlandin käsikirjoitus toimii suurella botnet - yli 100 000 tietokonetta - hyökkääjä voi löytää useimpien Facebook-käyttäjien puhelinnumerot ja nimet, joiden puhelinnumeroihin liittyy numeroita päivittäin, Prakash sanoi.

On haastavaa, että tämä haavoittuvuus on edelleen avoin ja olemassa julkisia työkaluja sen hyödyntämiseen, sanoi maanantaina sähköpostitse sähköpostitse Bogdan Botezatu, virustentorjunnan toimittajan Bitdefenderin johtava e-uhka-analyytikko. Hyvin harvat käyttäjät muuttavat oletusasetuksiaan, hän sanoi.

Tämä on toinen esimerkki siitä, kuinka suuri ominaisuus voi päätyä väärin, jos turvamekanismit toteutetaan huonosti tai ne ovat täysin puuttuvia, Botezatu sanoi. "Toisin kuin sähköpostiviestit tai blogin kommentit, lähestyminen käyttäjälle puhelimitse on paljon tehokkaampaa keihään vishing [voice phishing] -hyökkäyksessä, lähinnä siksi, että tietokoneen käyttäjä ei ole tietoinen siitä, että hänen puhelinnumeronsa on saattanut päätyä hyökkääjä voi vakuuttaa käyttäjää luovuttamasta henkilökohtaisia ​​tietojasi nopeasti. "

Voice phishing -hyökkäykset ja muut puhelinnumerot ovat yleisiä ja niiden menestysaste on jo korkea, Botezatu sanoi.

"Nyt kuvitella, että nämä väärennökset käsittelevät sinua täydellä nimellään ja varmuuskopioivat lausuntonsa, kun olet saanut tiedot suoraan [Facebook] -profiilistasi." Botezatu sanoi.