يتيح لك Facebook API الوصول إلى أي ارتباطات مرسلة عبر Facebook Messenger

اكتشف خبراء الأمن من Checkpoint هذا الأسبوع ثغرة أمنية سمحت لهم بتعديل الرسائل والروابط المرسلة عبر Facebook messenger. قام Facebook بإصلاح هذا الخطأ بسرعة ، لكن المستخدمين تمكنوا من العثور على ثغرة جديدة تسمح بالوصول إلى جميع الروابط المرسلة على الإطلاق عبر رسول الشبكة الاجتماعية.

تعتمد الثغرة الأمنية على كيفية عمل Facebook مع الروابط. عندما يتم إرسال الرابط لأول مرة ، يجمع Facebook جميع المعلومات من الصفحة - من العنوان إلى صورة المعاينة ، ثم يحفظها في قاعدة البيانات تحت أرقام تعريف فريدة. هذه الطريقة لا تجعل من الممكن ربط الروابط بالحساب الذي تم إرسالها منه ، ولكن بصبر مناسب وكمية كبيرة من البيانات التي تم جمعها ، من الممكن نظريًا مقارنة الروابط المشتركة بحسابات محددة.

يشير مستخدم المدونة المتوسطة ، Inti De Seukelire ، إلى أن جميع الروابط تتلقى أرقامًا فريدة ، ولكنها غير مشفرة بأي شكل من الأشكال ، وهذا يسمح لك بالوصول إلى أي روابط مخزنة في قاعدة بيانات Facebook على الإطلاق. لاختبار نظريته ، استخدم رابطًا لملف في مستندات Google ، أرسله إلى صديق.

بعد إرسال الرابط في رسول الشبكة الاجتماعية ، حصل على رقم فريد لهذا الرابط في مصحح Facebook (أداة تسمح لك بالعثور على أخطاء في المعلومات التي تم جمعها من الصفحة) وتمكن من الحصول على الرابط من قاعدة البيانات عبر Facebook API. يشار إلى أن Facebook لا يحفظ الروابط في قاعدة بياناته إلا بعد النقر عليها - والتي بدونها لا يتم تسجيلها في قاعدة البيانات.

باستخدام برنامج نصي بسيط ، قام Inti De Seukelire بعمل محلل بمولد معرف فريد يسمح لك بالعثور على الروابط المخزنة في قاعدة بيانات Facebook المرسلة في رسائل خاصة في Facebook Messenger. إذا استخدم Facebook أي تجزئة قوية تشفيرًا لإنشاء مثل هذه المعرفات ، فسيكون من المستحيل تقريبًا تحديدها. في حد ذاتها ، فإن القدرة على التقاط معرف لا تفعل سوى القليل ، ولكن حقيقة أنه من بين الكائنات يمكنك تحديد الروابط واستخراجها من قاعدة البيانات بغض النظر عن إعدادات الملكية والخصوصية أكثر خطورة.



لن يعاني معظم المستخدمين من مثل هذه الثغرة الأمنية ، ولكن يجب على أولئك الذين يشاركون المعلومات السرية عبر Facebook التفكير مرة أخرى في تغيير برنامج المراسلة.


بعد قليل من تحليل الثغرات الأمنية ، تمكنت Inti De Seukelire من الحصول على المعلومات التالية:

• الأسماء
• موقع الروابط المرسلة ؛
• الملفات المرفقة التي يجب إغلاقها كجزء من إعدادات خصوصية Facebook ؛
• بيانات التطبيق: مستوى الأصدقاء وألقابهم وغير ذلك الكثير ؛
• روابط إلى وثائق سرية ومحتويات أخرى من هذا النوع.

رداً على طلب إصلاح هذه الثغرة الأمنية ، قال ممثلو فيسبوك إن جميع الإجراءات تم تنفيذها في إطار سياسة الشبكات الاجتماعية القائمة ولا تتعارض معها.



في مايو ، رفع المستخدمون دعوى قضائية ضد Facebook ، حيث اتهموا الشبكة الاجتماعية بمسح الرسائل الشخصية. المسح ضروري لضمان أمان الملفات نفسها - على سبيل المثال ، تصفية الروابط إلى الملفات الضارة ، لكن البعض يخشى أن يستخدم Facebook هذه الأدوات لأغراض التسويق.

Source: https://habr.com/ru/post/ar394953/