Curso de SEO | SEO On Page | 04 - Palabras Clave
Sadržaj:
Napadači mogu zloupotrijebiti značajku pretraživanja telefona Facebooka kako bi pronašli valjane brojeve telefona i ime njihovih vlasnika, prema istražiteljima sigurnosti.
Napad je moguć jer Facebook ne ograničava broj pretraživanja telefonskih brojeva koje korisnik može izvesti putem mobilne inačice svoje web stranice, rekla je Suriya Prakash, nezavisni istraživač sigurnosti u nedavnom postu na blogu.
Facebook omogućava korisnicima povezivanje njihovih telefonskih brojeva s njihovim računima. Ako je činjenica, potreban je broj mobilnog telefona za potvrdu bilo kojeg novog Facebook računa i otključavanje značajki poput prijenosa videozapisa ili prilagodbe URL-a u vremenskoj traci.
[Dodatno čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]odjeljak "Kontakt informacije" na svojim stranicama profila na Facebooku, korisnici mogu odabrati žele li ove podatke učiniti vidljivima široj javnosti, samo svojim prijateljima ili ako žele zadržati za sebe, što je dobra opcija privatnosti.
Facebook također omogućava korisnicima da pronađu druge ljude na web stranici tražeći telefonske brojeve tih ljudi u međunarodnom formatu.
Korisnici mogu kontrolirati tko ih može locirati pomoću ove metode putem opcije pod "Postavke privatnosti"> "Kako Connect ">" Tko vam može pogledati pomoću adrese e-pošte ili telefonskog broja koji ste naveli? " koji je prema zadanim postavkama postavljen na "Svatko".
To znači da čak i ako na stranici profila postavite vidljivost telefonskog broja na "Samo ja", svatko tko poznaje vaš telefonski broj i dalje će vas moći pronaći na Facebooku, osim ako drugu postavku promijenite u "Prijatelji" ili "Prijatelji prijatelja". Nema opcije da spriječi svima da pronađu vaš profil koristeći vaš telefonski broj.
Budući da većina ljudi ne mijenja zadanu vrijednost ove postavke, moguće je da napadač generira popis uzastopnih telefonskih brojeva unutar odabranog u rasponu - primjerice od određenog operatera - i upotrijebiti Facebookov okvir za pretraživanje kako bi otkrio tko im pripada, rekao je Prakash. Spajanje slučajnog telefonskog broja s imenom je san svakog oglašavača i takav popis mogao bi dohvatiti veliku cijenu na crnom tržištu. "Prakash tvrdi da je taj scenarij napao Facebookov sigurnosni tim u kolovozu i nakon početni odgovor 31. kolovoza sve njegove e-poruke otišao je bez odgovora do 2. listopada, kada je Facebookov predstavnik odgovorio i izjavio da je stopa kojom se korisnici mogu naći na web stranici putem bilo kojeg sredstva, uključujući telefonske brojeve, ograničena.
Međutim, mobilna inačica Facebookove web stranice - m.facebook.com - ne čini se da ima ograničenje stope pretraživanja, rekao je Prakash.
Istraživač je generirao brojeve s prefiksima zemlje SAD i Indije i stvorio jednostavan dokaz- (PoC) makronaredbu koja ih je pretraživala na Facebooku i spremila one koje su pronađene povezane s Facebook profilima zajedno s imenima njihovih vlasnika.
Prakash je rekao da je odlučio javno otkriti ranjivost nekoliko dana na krmi šalje svoj PoC skriptu na Facebook, jer tvrtka nije odgovorila. Prakash je čak objavio 850 djelomično zeznutih telefonskih brojeva i povezanih imena koja je, tvrdio, predstavljala vrlo mali dio podataka koji je dobio tijekom svojih testova. "Prošlo je otprilike tjedan dana otkako sam ga pokrenuo i još uvijek nisam blokiran ", rekao je Prakash u ponedjeljak putem e-pošte.
Facebook nije vratio zahtjev za komentar koji je poslan u ponedjeljak.
Još jedan istraživač ispituje
Nakon Prakashove javne objave, Tyler Borland, istraživač sigurnosti sa mrežnim sigurnosnim dobavljačem Alert Logic, stvorio je još učinkovitiju skriptu koja istodobno može pokrenuti do deset procesa pretraživanja telefona tvrtke Facebook. Borlandova skripta naziva se "Facebookov alat za indeksiranje" i može tražiti telefonske brojeve iz raspona određenog korisnikom.
"S zadanim postavkama uspjelo sam provjeriti podatke za 1 telefonski broj svake sekunde", rekao je Borland putem e-pošte u ponedjeljak. "Oni [Facebook] ne koriste bilo kakvu stopu ograničenja ili nisam pogodio taj limit još. Ponovno sam poslao stotine zahtjeva u kratkim vremenskim razmacima i ništa se nije dogodilo."
Sa Borlandovim scenarijem koji se izvodi na velikom botnet - više od 100.000 računala - napadač je mogao naći telefonske brojeve i imena većine korisnika Facebooka s mobilnim brojevima povezanim s njihovim računima u roku od nekoliko dana, rekao je Prakash.
Zabrinjavajuće je da je ova ranjivost još uvijek otvorena i postoje javni alati dostupni da bi ga iskoristili, izjavio je Bogdan Botezatu, viši analitičar e-prijetnje kod antivirusnog dobavljača Bitdefendera, putem e-pošte u ponedjeljak. Vrlo malo korisnika mijenja svoje zadane postavke privatnosti, rekao je.
Ovo je još jedan primjer kako velika značajka može biti zlostavljana ako se sigurnosni mehanizmi slabo implementiraju ili potpuno propuštaju, rekao je Botezatu. "Za razliku od poruka e-pošte ili komentara na blogu, približavanje korisniku putem telefona mnogo je učinkovitije u napadu kopiranja koplja, uglavnom zbog toga što korisnik računala nije svjestan činjenice da je njegov telefonski broj možda završio Pogrešne ruke, zajedno s korisničkim informacijama u svom profilu, napadač može uvjeriti korisnika na predaju osobnih podataka ni u kojem trenutku. "
Napadi na glasovne krađe i druge vrste telefonskih prijevara su česti i njihova uspješnost je već visoka, Botezatu rekao je: "Sada zamislite da vas ti kriminalci obraćaju svojim punim imenom i podupiru svoje izjave s podacima o vama koji ste izravno podnijeli s vašeg [Facebook] profila." Rekao je Botezatu.
Da biste to učinili, iskoristili su bug digitalne potvrde koje koriste web stranice da bi dokazale da su oni koji tvrde da su. Iskorištavanjem poznatih nedostataka u algoritmu hashing algoritama MD5 koji se koriste za izradu nekih od tih certifikata, istraživači su uspjeli hakirati Verisignov ovlaštenje za RapidSSL.com i stvoriti lažne digitalne certifikate za bilo koju web stranicu na Internetu.
Stvoriti "otisak prsta" za dokument, broj koji treba jedinstveno identificirati određeni dokument i lako se izračunava kako bi provjerio nije li dokument bio promijenjen u tranzitu. Algoritam hashing algoritma MD5, međutim, je manjkav, što omogućuje stvaranje dva različita dokumenta koji imaju istu hash vrijednost. Na taj način netko može stvoriti certifikat za web lokaciju za krađu identiteta koji ima isti otisak prsta kao i certifikat za originalno web mjesto.
Najveća prodajna točka DSTL1 telefona je da može podržati dva zasebna telefonska brojeva telefona. Jednostavno umetnite dvije SIM kartice u dva utora ispod baterije. Tu je i utor za smještaj microSD kartice za pohranu kapaciteta do 16 GB. Sam telefon ima 4 GB interne memorije.
DSTL1 pokreće Android 1.5 OS (a ne noviji Android 2.0) i nosi 624 MHz procesor. General Mobile je otišao u Sharp Electronics za 3-inčni zaslon osjetljiv na dodir veličine 240 piksela i 400 piksela i Sony za kameru od 5 megapiksela. DSTL1 ima FM radio na brodu i nudi podršku za Bluetooth 2.0 i Wi-Fi.
Istraživači: Protokol za parni URL može se zloupotrijebiti za iskorištavanje ranjivosti igara
Napadači mogu izigrati igrače u otvaranju zlonamjerne pare: // URL iskorištavaju sigurnosne probleme u igrama za izvršavanje zlonamjernog koda.