API Facebook memungkinkan Anda untuk mengakses tautan apa pun yang dikirim melalui Facebook Messenger

Minggu ini, pakar keamanan dari Checkpoint menemukan kerentanan yang memungkinkan mereka untuk mengubah pesan dan tautan yang dikirim melalui messenger Facebook. Facebook dengan cepat memperbaiki bug ini, tetapi pengguna dapat menemukan kerentanan baru yang memungkinkan akses ke semua tautan yang pernah dikirim melalui messenger jejaring sosial.

Kerentanan didasarkan pada cara Facebook bekerja dengan tautan. Ketika tautan dikirim untuk pertama kalinya, Facebook mengumpulkan semua informasi dari halaman - dari judul ke gambar pratinjau, dan kemudian menyimpannya di database dengan nomor identifikasi unik. Metode ini tidak memungkinkan untuk menautkan tautan ke akun dari mana mereka dikirim, tetapi dengan kesabaran yang tepat dan sejumlah besar data yang dikumpulkan, secara teori dimungkinkan untuk membandingkan tautan bersama dengan akun tertentu.

Pengguna blog Medium, Inti De Seukelire, mencatat bahwa semua tautan menerima nomor unik, tetapi tidak dienkripsi dengan cara apa pun, ini memungkinkan Anda untuk mengakses semua tautan yang disimpan dalam basis data Facebook. Untuk menguji teorinya, ia menggunakan tautan ke file di Google Documents, yang ia kirim ke seorang teman.

Setelah mengirim tautan di messenger jejaring sosial, ia menerima nomor unik untuk tautan ini di Facebook debugger (alat yang memungkinkan Anda menemukan kesalahan dalam informasi yang dikumpulkan dari halaman) dan bisa mendapatkan tautan dari basis data melalui Facebook API. Patut dicatat bahwa Facebook menyimpan tautan dalam basis datanya hanya setelah mengkliknya - tanpanya tanpanya tidak terdaftar dalam basis data.

Dengan menggunakan skrip sederhana, Inti De Seukelire membuat parser dengan generator pengenal unik yang memungkinkan Anda menemukan tautan yang disimpan dalam basis data Facebook yang dikirim dalam pesan pribadi di Facebook Messenger. Jika Facebook menggunakan hashing yang kuat secara kriptografis untuk menghasilkan pengidentifikasi seperti itu, maka hampir mustahil untuk memilihnya. Dengan sendirinya, kemampuan untuk mengambil pengidentifikasi tidak banyak, tetapi fakta bahwa di antara objek Anda dapat mengidentifikasi tautan dan mengekstraknya dari database terlepas dari kepemilikan dan pengaturan privasi jauh lebih serius.



Sebagian besar pengguna tidak akan menderita kerentanan seperti itu, tetapi mereka yang berbagi informasi rahasia melalui Facebook harus sekali lagi berpikir untuk mengganti messenger.


Setelah sedikit analisis kerentanan, Inti De Seukelire dapat memperoleh informasi berikut:

• Nama
• Lokasi tautan yang dikirim;
• File terlampir yang harus ditutup sebagai bagian dari pengaturan privasi Facebook;
• Data aplikasi: tingkat teman, nama panggilan mereka, dan banyak lagi;
• Tautan ke dokumen rahasia dan konten lain dari jenis ini.

Menanggapi permintaan untuk memperbaiki kerentanan ini, perwakilan Facebook mengatakan bahwa semua tindakan dilakukan dalam kerangka kebijakan jejaring sosial yang ada dan tidak membantahnya.



Pada Mei, pengguna mengajukan gugatan terhadap Facebook, di mana mereka menuduh jejaring sosial memindai pesan pribadi. Pemindaian diperlukan untuk memastikan keamanan file itu sendiri - misalnya, memfilter tautan ke file berbahaya, tetapi sebagian khawatir bahwa Facebook menggunakan alat tersebut untuk tujuan pemasaran.

Source: https://habr.com/ru/post/id394953/