A API do Facebook permite acessar todos os links enviados via Facebook Messenger

Nesta semana, especialistas em segurança da Checkpoint encontraram uma vulnerabilidade que lhes permitia modificar mensagens e links enviados pelo messenger do Facebook. O Facebook corrigiu rapidamente esse bug, mas os usuários conseguiram encontrar uma nova vulnerabilidade que permite o acesso a todos os links já enviados pelo messenger da rede social.

A vulnerabilidade é baseada em como o Facebook trabalha com links. Quando o link é enviado pela primeira vez, o Facebook coleta todas as informações da página - do título à imagem de visualização e as salva no banco de dados sob números de identificação exclusivos. Esse método não torna possível vincular os links à conta da qual eles foram enviados, mas com a devida paciência e uma grande quantidade de dados coletados, é teoricamente possível comparar links compartilhados com contas específicas.

O usuário do blog Medium, Inti De Seukelire, observa que todos os links recebem números únicos, mas não são criptografados de forma alguma, permitindo acessar absolutamente todos os links armazenados no banco de dados do Facebook. Para testar sua teoria, ele usou um link para um arquivo no Google Docs, que ele enviou a um amigo.

Depois de enviar o link no messenger da rede social, ele recebeu um número exclusivo para esse link no depurador do Facebook (uma ferramenta que permite encontrar erros nas informações coletadas na página) e conseguiu obter o link do banco de dados por meio da API do Facebook. Vale ressaltar que o Facebook salva os links em seu banco de dados somente após clicar neles - sem os quais eles não estão registrados no banco de dados.

Usando um script simples, o Inti De Seukelire fez um analisador com um gerador de identificador exclusivo que permite encontrar links armazenados no banco de dados do Facebook enviados em mensagens privadas no Facebook Messenger. Se o Facebook usasse algum hash criptograficamente forte para gerar esses identificadores, seria quase impossível selecioná-los. Por si só, a capacidade de selecionar um identificador faz pouco, mas o fato de que dentre os objetos você pode identificar links e extraí-los do banco de dados, independentemente das configurações de propriedade e privacidade, é muito mais sério.



A maioria dos usuários não sofre com essa vulnerabilidade, mas aqueles que compartilham informações confidenciais através do Facebook devem pensar novamente em mudar o messenger.


Após uma pequena análise de vulnerabilidade, o Inti De Seukelire conseguiu obter as seguintes informações:

• Nomes
• Localização dos links enviados;
• Arquivos anexados que devem ser fechados como parte das configurações de privacidade do Facebook;
• Dados do aplicativo: nível de amigos, apelidos e muito mais;
• Links para documentos confidenciais e outro conteúdo desse tipo.

Em resposta a uma solicitação para corrigir essa vulnerabilidade, os representantes do Facebook disseram que todas as ações foram realizadas dentro da estrutura da política de rede social existente e não a contradizem.



Em maio, os usuários entraram com uma ação contra o Facebook, na qual acusavam a rede social de escanear mensagens pessoais. A digitalização é necessária para garantir a segurança dos próprios arquivos - por exemplo, a filtragem de links para arquivos maliciosos, mas alguns temem que o Facebook tenha usado essas ferramentas para fins de marketing.

Source: https://habr.com/ru/post/pt394953/