Mit der Facebook-API können Sie über den Facebook Messenger auf alle gesendeten Links zugreifen

Diese Woche haben Sicherheitsexperten von Checkpoint eine Sicherheitslücke gefunden, die es ihnen ermöglichte, über den Facebook-Messenger gesendete Nachrichten und Links zu ändern. Facebook hat diesen Fehler schnell behoben, aber Benutzer konnten eine neue Sicherheitsanfälligkeit finden, die den Zugriff auf alle Links ermöglicht, die jemals über den Messenger für soziale Netzwerke gesendet wurden.

Die Sicherheitsanfälligkeit basiert darauf, wie Facebook mit Links arbeitet. Wenn der Link zum ersten Mal gesendet wird, sammelt Facebook alle Informationen von der Seite - vom Titel bis zum Vorschaubild - und speichert sie dann in der Datenbank unter eindeutigen Identifikationsnummern. Diese Methode ermöglicht es nicht, die Links mit dem Konto zu verknüpfen, von dem sie gesendet wurden. Mit der richtigen Geduld und einer großen Menge gesammelter Daten ist es jedoch theoretisch möglich, die freigegebenen Links mit bestimmten Konten zu vergleichen.

Der Benutzer des Medium-Blogs, Inti De Seukelire, stellt fest, dass alle Links eindeutige Nummern erhalten, jedoch in keiner Weise verschlüsselt sind. Auf diese Weise können Sie auf absolut alle Links zugreifen, die in der Facebook-Datenbank gespeichert sind. Um seine Theorie zu testen, verwendete er den Dateilink in Google Text & Tabellen, den er an einen Freund sandte.

Nach dem Senden des Links im Messenger für soziale Netzwerke erhielt er eine eindeutige Nummer für diesen Link im Facebook-Debugger (ein Tool, mit dem Sie Fehler in den auf der Seite gesammelten Informationen finden können) und konnte den Link über die Facebook-API aus der Datenbank abrufen. Es ist bemerkenswert, dass Facebook Links in seiner Datenbank erst nach einem Klick speichert - ohne die sie nicht in der Datenbank registriert sind.

Inti De Seukelire hat mithilfe eines einfachen Skripts einen Parser mit einem eindeutigen Identifikatorgenerator erstellt, mit dem Sie in der Facebook-Datenbank gespeicherte Links finden können, die in privaten Nachrichten in Facebook Messenger gesendet wurden. Wenn Facebook ein kryptografisch starkes Hashing verwenden würde, um solche Kennungen zu generieren, wäre es fast unmöglich, sie auszuwählen. Die Möglichkeit, einen Bezeichner abzurufen, macht an sich wenig aus, aber die Tatsache, dass Sie unter den Objekten Links identifizieren und aus der Datenbank extrahieren können, unabhängig von den Eigentums- und Datenschutzeinstellungen, ist viel schwerwiegender.



Die meisten Benutzer werden nicht unter einer solchen Sicherheitsanfälligkeit leiden, aber diejenigen, die vertrauliche Informationen über Facebook teilen, sollten erneut darüber nachdenken, den Messenger zu ändern.


Nach einer kleinen Schwachstellenanalyse konnte Inti De Seukelire die folgenden Informationen erhalten:

• Namen
• Ort der gesendeten Links;
• Angehängte Dateien, die im Rahmen der Datenschutzeinstellungen von Facebook geschlossen werden müssen;
• Anwendungsdaten: Anzahl der Freunde, deren Spitznamen und vieles mehr;
• Links zu vertraulichen Dokumenten und anderen Inhalten dieser Art.

Auf die Aufforderung, diese Sicherheitsanfälligkeit zu beheben, antworteten Facebook-Vertreter, dass alle Maßnahmen im Rahmen der bestehenden Richtlinie für soziale Netzwerke durchgeführt wurden und nicht widersprechen.



Im Mai reichten Nutzer eine Klage gegen Facebook ein, in der sie das soziale Netzwerk beschuldigten, persönliche Nachrichten gescannt zu haben. Das Scannen ist erforderlich, um die Sicherheit der Dateien selbst zu gewährleisten - zum Beispiel das Filtern von Links zu schädlichen Dateien. Einige befürchten jedoch, dass Facebook solche Tools für Marketingzwecke verwendet.

Source: https://habr.com/ru/post/de394953/