Paghahanap sa telepono ng Facebook ay maaaring abusuhin upang mahanap ang mga numero ng tao, sinasabi ng mga mananaliksik

Maaaring abusuhin ng mga Attacker ang tampok na paghahanap sa telepono ng Facebook upang mahanap ang mga wastong numero ng telepono at ang pangalan ng kanilang mga may-ari, ayon sa mga mananaliksik sa seguridad. hindi limitahan ang bilang ng mga paghahanap ng numero ng telepono na maaaring isagawa ng isang gumagamit sa pamamagitan ng mobile na bersyon ng website nito, Suriya Prakash, isang independiyenteng tagapagpananaliksik sa seguridad sinabi sa isang kamakailang post ng blog.

Facebook ay nagbibigay-daan sa mga gumagamit upang iugnay ang kanilang mga numero ng telepono sa kanilang mga account. Kung ang katotohanan, ang isang numero ng mobile phone ay kinakailangan upang i-verify ang anumang bagong Facebook account at i-unlock ang mga tampok tulad ng pag-upload ng video o personalization URL ng timeline.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Kapag nagdaragdag ng mga numero ng telepono sa ang seksyon ng "Contact info" ng kani-kanilang mga pahina ng profile sa Facebook, maaaring piliin ng mga user kung nais nilang gawing nakikita ang impormasyong ito sa pangkalahatang publiko, lamang sa kanilang mga kaibigan o kung nais nilang panatilihin ito sa kanilang sarili, na isang mahusay na pagpipilian sa privacy.

Pinapayagan din ng Facebook ang mga user na makahanap ng ibang tao sa website sa pamamagitan ng paghahanap para sa mga numero ng telepono ng mga tao sa internasyonal na format.

Maaari kontrolin ng mga user kung sino ang maaaring mahanap ang mga ito gamit ang pamamaraang ito sa pamamagitan ng isang pagpipilian sa ilalim ng "Mga Setting ng Privacy" Kumonekta ">" Sino ang maaaring tumingin sa iyo gamit ang email address o numero ng telepono na iyong ibinigay? " na kung saan ay itinakda sa pamamagitan ng default sa "Lahat."

Nangangahulugan ito na kahit na itinakda mo ang visibility ng iyong numero ng telepono sa "Ako lamang" sa iyong pahina ng profile, sinuman na nakakaalam ng iyong numero ng telepono ay makakahanap ka pa rin sa Facebook maliban kung binago mo ang ikalawang setting sa "Mga Kaibigan" o "Mga Kaibigan ng mga kaibigan." Walang pagpipilian upang maiwasan ang lahat mula sa paghahanap ng iyong profile gamit ang iyong numero ng telepono.

Dahil ang karamihan ng tao ay hindi binabago ang default na halaga ng setting na ito, posible para sa isang magsasalakay na bumuo ng isang listahan ng mga sequential na numero ng telepono sa loob ng isang napili saklaw-halimbawa mula sa isang tukoy na operator-at gamitin ang kahon sa paghahanap ng Facebook upang matuklasan kung sino ang pag-aari nila, sinabi ni Prakash. Ang pagkonekta ng isang random na numero ng telepono sa isang pangalan ay ang pangarap ng bawat advertiser at ang mga uri ng mga listahan ay kukuha ng malaking presyo sa itim na merkado, sinabi niya.

Sinabi ni Prakash na ibinahagi niya ang sitwasyong pag-atake na ito sa pangkat ng seguridad ng Facebook noong Agosto at pagkatapos ng isang Ang unang tugon sa Agosto 31 lahat ng kanyang mga email ay hindi sinagot hanggang Oktubre 2, nang ang isang kinatawan ng Facebook ay tumugon at sinabi na ang rate kung saan ang mga gumagamit ay matatagpuan sa website sa anumang paraan, kabilang ang mga numero ng telepono, ay pinaghigpitan.

Gayunpaman, ang mobile na bersyon ng website ng Facebook-m.facebook.com-ay hindi lumilitaw na mayroong limitasyon sa paghahanap para sa paghahanap, sinabi ni Prakash.

Ang mananaliksik ay nakabuo ng mga numero sa prefix ng US at India at lumikha ng isang simpleng patunay-ng- konsepto (PoC) macro script na naghanap para sa mga ito sa Facebook at na-save ang mga na natagpuan na nauugnay sa mga profile ng Facebook, kasama ang mga pangalan ng kanilang mga may-ari.

Prakash sinabi na siya ay nagpasya na ibunyag sa publiko ang kahinaan ng ilang araw aft ang pagpapadala ng kanyang PoC script sa Facebook, dahil ang kumpanya ay hindi tumugon. Kahit na inilathala ni Prakash ang 850 na bahagyang natatanggal na mga numero ng telepono at nauugnay na mga pangalan na, sinabing, kinakatawan niya ang isang napakaliit na bahagi ng data na kanyang nakuha sa panahon ng kanyang mga pagsusulit.

"Ito ay halos isang linggo simula nang ako ay nagsimulang tumakbo ito at wala pa rin akong Na-block, "sinabi ni Prakash noong Lunes sa pamamagitan ng email.

Ang isa pang tester ng pagsusulit

Ang mga sumusunod na public disclosure ni Prakash, si Tyler Borland, isang security researcher na may network security vendor Alert Logic, ay lumikha ng isang mas mahusay na script na maaaring tumakbo ng hanggang sa sampung mga proseso ng paghahanap ng Facebook phone sa parehong oras. Ang script ng Borland ay tinawag na "Facebook crawler ng telepono" at maaaring maghanap ng mga numero ng telepono mula sa hanay ng tinukoy ng gumagamit.

"Sa mga setting ng default na nagawa ko na ma-verify ang data para sa 1 numero ng telepono bawat segundo," ayon kay Borland sa pamamagitan ng email noong Lunes. "Hindi sila gumagamit ng anumang uri ng rate ng paglilimita o hindi ko pa naabot ang limit na iyon. Muli, nagpadala ako ng daan-daang mga kahilingan sa loob ng mga maikling pagitan ng oras at wala nang nangyari."

Sa script ng Borland na tumatakbo sa isang malaking botnet-higit sa 100,000 mga computer-isang pag-atake ay maaaring mahanap ang mga numero ng telepono at mga pangalan ng karamihan sa mga gumagamit ng Facebook na may mga mobile na numero na nauugnay sa kanilang mga account sa isang bagay ng mga araw, sinabi Prakash.

Nakakaabala na ang kahinaan na ito ay bukas pa rin at may mga ang mga pampublikong tool na magagamit upang pagsamantalahan ito, sinabi Bogdan Botezatu, isang senior e-pagbabanta analyst sa antivirus vendor Bitdefender, sa pamamagitan ng email sa Lunes. Napakaliit ng mga gumagamit na binago ang kanilang default na mga setting sa pagkapribado, sinabi niya.

Ito ay isa pang halimbawa kung paano maaaring maganap ang isang mahusay na tampok na inabuso kung ang mga mekanismo ng kaligtasan ay hindi maipapatupad o ganap na nawawala, sinabi ni Botezatu. "Hindi tulad ng mga mensaheng e-mail o mga komentaryo sa blog, ang papalapit na user sa pamamagitan ng telepono ay mas epektibo sa pag-atake ng sibat [pag-atake ng boses], karamihan dahil ang gumagamit ng computer ay hindi alam ang katunayan na ang kanyang numero ng telepono ay maaaring natapos sa kasama ng mga gumagamit ng impormasyon sa kanilang profile, ang isang magsasalakay ay maaaring kumbinsihin ang gumagamit sa paghahatid ng personal na impormasyon sa walang oras. "

Ang pag-atake ng phishing ng boses at iba pang uri ng pandaraya sa telepono ay karaniwan at ang kanilang tagumpay ay mataas na, Botezatu Sinabi ni

"Ngayon isipin na ang mga crooks na ito ay tinutukoy ka ng iyong buong pangalan at i-back up ang kanilang mga pahayag na may impormasyon tungkol sa iyong kinuha diretso mula sa iyong [Facebook] profile." Sinabi ni Botezatu.