Facebooks telefonsøk kan misbrukes for å finne folks tall, sier forskere

Angrep kan misbruke Facebooks telefonsøkfunksjon for å finne gyldige telefonnumre og navn på eiere, ifølge sikkerhetsforskere.

Angrepet er mulig fordi Facebook begrenser ikke antall telefonnummer søk som kan utføres av en bruker via den mobile versjonen av nettstedet, Suriya Prakash, en uavhengig sikkerhetsforsker sa i et nylig blogginnlegg.

Facebook tillater brukere å knytte telefonnumrene sine med sine kontoer. Hvis det er et faktum, er et mobilnummer nødvendig for å bekrefte en ny Facebook-konto og låse opp funksjoner som videoopplasting eller tidslinje-URL-tilpassing.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Når du legger til telefonnumre i "Kontaktinfo" -delen av deres respektive Facebook-profilsider, kan brukerne velge om de vil gjøre denne informasjonen synlig for allmennheten, bare til vennene dine eller hvis de vil beholde det til seg selv, noe som er et godt personvernalternativ.

Facebook gir også brukere mulighet til å finne andre personer på nettstedet ved å søke etter folks telefonnumre i internasjonalt format.

Brukere kan kontrollere hvem som kan finne dem ved hjelp av denne metoden, ved hjelp av et alternativ under "Personverninnstillinger"> "Hvordan du Koble ">" Hvem kan se deg opp med e-postadressen eller telefonnummeret du oppgav? " som som standard er satt til "Alle".

Dette betyr at selv om du angir telefonnummerets synlighet til «Meg bare» på profilsiden din, kan alle som kjenner telefonnummeret ditt fortsatt finne på Facebook med mindre Du endrer den andre innstillingen til "Venner" eller "Venner av venner". Det er ikke mulig å hindre at alle søker etter profilen din ved hjelp av telefonnummeret ditt.

Siden de fleste ikke endrer standardverdien til denne innstillingen, er det mulig for en angriper å generere en liste over sekvensielle telefonnumre innenfor en valgt rekkevidde - for eksempel fra en bestemt operatør - og bruk Facebooks søkeboks for å oppdage hvem de tilhører, sa Prakash. Tilkobling av et tilfeldig telefonnummer til et navn er hver annonsørs drøm, og denne typen lister vil hente en stor pris på det svarte markedet, sa han.

Prakash hevder at han delte dette angrepsscenariet med Facebooks sikkerhetsgruppe i august og etter en første svar på 31. august var alle e-postene hans ubesvarte til 2. oktober, da en Facebook-representant reagerte og sa at hastigheten som brukere kan bli funnet på nettstedet på noen måte, inkludert telefonnumre, er begrenset.

Den mobile versjonen av Facebooks nettside-m.facebook.com ser imidlertid ut til å ha noen søkefrekvensbegrensning, sa Prakash.

Forskeren genererte tall med USA og India land prefikser og opprettet en enkel proof-of- konsept (PoC) makroscript som søkte etter dem på Facebook og lagret de som ble funnet å være knyttet til Facebook-profiler, sammen med eiernees navn.

Prakash sa at han bestemte seg for å offentliggjøre sårbarheten i noen dager akter sender sin PoC-skript til Facebook, fordi selskapet ikke reagerte. Prakash publiserte til og med 850 850 delvis forvirrede telefonnumre og tilhørende navn, som han hevdet representerte en svært liten del av dataene han oppnådde under sine tester. "Det har gått en uke siden jeg begynte å kjøre den, og jeg har fortsatt ikke blitt blokkert, sa Prakash mandag via e-post. "Jeg har selv informert dem [Facebook] om morgenen (indisk tid) fortsatt ikke noe svar."

Facebook returnerte ikke en forespørsel om kommentar sendt mandag.

En annen forskerprøve

Etter Prakashs offentliggjøring, Tyler Borland, en sikkerhetsforsker med nettverkssikkerhetsleverandør Alert Logic, opprettet et enda mer effektivt skript som kan kjøre opptil ti søkemotorer på Facebook samtidig. Borlands skript kalles "Facebook-telefonkrypter" og kan søke etter telefonnumre fra et brukerdefinert område.

"Med standardinnstillinger kunne jeg bekrefte data for 1 telefonnummer hvert sekund," sa Borland via e-post på mandag. "De [Facebook] bruker ikke noen form for prisbegrensning, eller jeg har ikke rammet den grensen ennå. Igjen sendte jeg hundrevis av forespørsler innen korte tidsintervaller og ingenting skjedde."

Med Borlands skript kjører på en stor botten-over 100 000 datamaskiner - en angriper kunne finne telefonnumre og navn på de fleste Facebook-brukere med mobilnumre knyttet til sine kontoer i løpet av få dager, sier Prakash.

Det er forstyrrende at dette sikkerhetsproblemet fortsatt er åpent og det er offentlige verktøy tilgjengelig for å utnytte det, sa Bogdan Botezatu, en senior e-trussel analytiker hos antivirusleverandør Bitdefender, via e-post på mandag. Svært få brukere endrer standardinnstillingene for personvern, sa han.

Dette er et annet eksempel på hvordan en god funksjon kan ende opp med misbruk hvis sikkerhetsmekanismer er dårlig implementert eller helt mangler, sa Botezatu. "I motsetning til e-postmeldinger eller bloggkommentarer, nærmer en bruker via telefon, det er mye mer effektivt i et angrepssangsmål [voice phishing] angrep, for det meste fordi datamaskinbrukeren ikke er klar over det faktum at telefonnummeret hans kan ha endt i Feil hender. I kombinasjon med brukerinformasjonen i profilen kan en angriper overbevise brukeren om å levere personlig informasjon på kort tid. "

Talepåfallsangrep og annen type telefonsvindel er vanlige og suksessraten er allerede høy, Botezatu sa.

"Forestill deg at disse skurkene adresserer deg etter ditt fulle navn og sikkerhetskopierer deres uttalelser med informasjon om deg tatt direkte fra din [Facebook] -profil." Botezatu sa.