Daftar Facebook Kerentanan mengungkapkan Teman Didefinisikan sebagai Swasta
Irene Abezgauz dari Quotium Seeker Research Center mengidentifikasi lubang keamanan di kontrol privasi Facebook. Kerentanan ini memungkinkan penyerang untuk melihat daftar teman-teman dari setiap pengguna di Facebook. Serangan ini dilakukan dengan menyalahgunakan 'People You Know Mei' mekanisme di Facebook, yang merupakan mekanisme yang menunjukkan Facebook teman-teman baru bagi pengguna.
Dengan serangan yang meningkat, Facebook sering ditargetkan oleh hacker untuk informasi yang dimilikinya. Pengguna mengandalkan Facebook untuk menjaga privasi mereka untuk yang terbaik dari kemampuan Facebook.
Karena kerentanan ini membuat kontrol privasi untuk menyembunyikan daftar teman-teman dari pengguna lain yang tidak relevan, kami berharap Facebook akan berubah pikiran dan cacat ini akan dibahas.
Rincian Teknis
Untuk mengeksekusi serangan, penyerang perlu membuat user baru di Facebook, dan mengirim permintaan pertemanan kepada korban. Korban penurunan permintaan tidak relevan. Pada titik ini Facebook mulai menunjukkan kepada orang-orang penyerang ia mungkin tahu, dengan pilihan mengklik 'melihat semua' tombol untuk kenyamanan. Orang-orang disarankan pada saat ini adalah teman dari pengguna menyerang kepada siapa penyerang mengirim permintaan pertemanan, bahkan ketika daftar teman korban diatur ke swasta, dan pengguna disarankan lain juga memiliki teman-teman mereka daftar pribadi.
Langkah 1: AllYourDatazAreBelongToUs, Pengguna Tanpa Teman
Untuk mengeksploitasi kerentanan ini penyerang pertama perlu membuat user baru di Facebook.Seperti yang kita lihat pada gambar di bawah, user ini tidak memiliki teman atau teman saran:
Step2: Mengirim korban permintaan pertemanan
Kita bisa melihat bahwa korban, Irene IreneIrene, memiliki daftar teman-temannya tersembunyi:
Pada titik ini FB menyarankan: "Untuk melihat apa yang dia saham dengan teman-teman, mengirim permintaan temannya.". Penyerang pada saat ini mengikuti nasihat.
Step3: Lihat daftar teman korban sebagai 'Orang-orang yang mungkin Anda kenal' saran
Pada titik ini korban tidak menerima permintaan teman-teman. Dia mungkin bahkan tidak melihat permintaan karena ia tidak login ke FB saat ini. Namun, FB mulai menyarankan kepada para pengguna penyerang yang baik teman korban atau korban baru-baru ini mengirim mereka permintaan teman:
Dengan menggunakan 'melihat semua' tombol penyerang dapat memperluas daftar untuk melihat ratusan saran dari pengguna yang berteman dengan korban.
Sebagai bagian dari penelitian untuk kerentanan ini kami ingin memverifikasi kondisi yang tepat di mana hal itu mungkin. Teman-teman yang dipilih untuk korban adalah pengguna yang juga daftar teman-teman mereka diatur ke swasta. Selain itu, tidak ada interaksi terjadi antara pengguna kecuali untuk pengiriman permintaan teman. Ini adalah data yang tidak tersedia untuk umum untuk setiap pengguna yang bukan teman korban.
Vendor Response
FB menjawab bahwa: "Jika Anda tidak memiliki teman-teman di Facebook dan mengirim permintaan teman untuk seseorang yang memilih untuk menyembunyikan daftar teman lengkap mereka dari garis waktu mereka, Anda mungkin melihat beberapa saran teman yang juga teman-teman mereka. Tapi Anda tidak punya cara untuk mengetahui apakah saran Anda lihat mewakili daftar lengkap teman seseorang. "
Namun, penelitian masalah ini telah menunjukkan bahwa sebagian besar dari daftar teman, seringkali ratusan teman, tersedia untuk penyerang. Dalam kasus apapun, bahkan daftar teman parsial merupakan pelanggaran terhadap kontrol privasi pengguna yang dipilih.
