Facebook API允许您通过Facebook Messenger访问任何已发送的链接

本周，来自Checkpoint的安全专家发现了一个漏洞，该漏洞使他们可以修改通过Facebook Messenger发送的消息和链接。 Facebook很快修复了该错误，但用户能够找到一个新漏洞，该漏洞允许访问曾经通过社交网络Messenger发送的所有链接。

该漏洞基于Facebook如何处理链接。首次发送链接时，Facebook从页面收集所有信息-从标题到预览图像，然后将其保存在数据库中的唯一标识号下。此方法无法将链接链接到发送链接的帐户，但是由于有足够的耐心和收集的大量数据，从理论上讲，可以将共享链接与特定帐户进行比较。

中型博客Inti De Seukelire的用户指出，所有链接都具有唯一编号，但未进行任何加密，因此，您可以绝对访问Facebook数据库中存储的所有链接。为了检验他的理论，他使用了指向Google文档中文件的链接，并将该链接发送给朋友。

在社交网络Messenger中发送了链接后，他在Facebook调试器（该工具可让您查找从页面收集的信息中发现错误）中收到此链接的唯一编号，并且能够通过Facebook API从数据库中获取链接。值得注意的是，Facebook仅在单击链接后才将链接保存在其数据库中，否则，链接将不会在数据库中注册。

Inti De Seukelire使用简单的脚本制作了一个具有唯一标识符生成器的解析器，该标识符生成器使您可以查找存储在Facebook数据库中的链接，这些链接是通过Facebook Messenger中的私人消息发送的。如果Facebook使用任何具有密码学意义的强哈希来生成此类标识符，则几乎不可能选择它们。就其本身而言，获取标识符的能力几乎没有作用，但是事实是，无论所有权和隐私设置如何，您都可以在对象中标识链接并从数据库中提取链接，这一事实更为严重。



大多数用户都不会遭受这种漏洞的困扰，但是那些通过Facebook共享机密信息的用户应该再次考虑更换Messenger。


经过一些漏洞分析之后，Inti De Seukelire能够获得以下信息：

• 名字
• 发送链接的位置；
• 附件必须作为Facebook隐私设置的一部分关闭；
• 申请数据：朋友的级别，他们的昵称等；
• 链接到机密文件和此类其他内容。

针对修复此漏洞的请求，Facebook代表表示，所有操作均在现有社交网络政策的框架内进行，并不矛盾。



今年5月，用户对Facebook 提起诉讼，他们指控社交网络扫描个人消息。扫描对于确保文件本身的安全性是必要的-例如，过滤到恶意文件的链接，但有些人担心Facebook将此类工具用于营销目的。

Source: https://habr.com/ru/post/zh-CN394953/