В один прекрасный день, приходит смс-уведомление от Facebook, о том, что что Д.И. прокомментировал публикацию, ну и в теле сообщения короткая ссылка на комментарий. Что странно, так это то, что до этого момента Facebook подобными уведомлениями меня не радовал)).

Собвственно, в чём заключается проблема будет описано ниже, поэтапно:

  • Пользователь переходит по ссылке из смс (Mobile UA) и получает форму ввода логина и пароля (при условии, что не авторизован) (Pic.2)

 

  • Далее, чтобы просмотреть содержимое полученной ссылки, пользователь проходит процедуру авторизации и просматривает контент скрытый за ссылкой (Pic.3)

 

  • Если же, использовать Desktop UA, то происходит извлечение номера на который было отправлено смс с короткой ссылкой (Pic.4)
  • Можно предположить, что ссылка + номер имеет отношение к тем людям, которые делятся контентом на основании которого генерируется ссылка и рассылается смс пользователям
  • Ссылки формата https://fb.com/l/<some_hash> легко добываются запросами через Google (google://site:https://fb.com/l/) образуя базу ссылок (Pic.5)
  • Далее с помощью скрипта запросы  https://fb.com/l/<some_hash> автоматизируются и парсятся (Pic.6,7)

Следовательно, стоит рассмотреть кейс с попаданием СОДЕРЖИМОГО СМСКИ в третьи руки, и т.к. содержимое смски не несёт в себе какой-либо конфиденциальной информации для пользователя, а только короткую ссылку на пост/уведомление, то пользователи могут без особого труда делиться ссылками и содержимым смс сообщений и выкладывать их в публичный доступ.
Следовательно, с извлечением номера и имени в начале смски (e.g. Alexander, Дмитрий Иванов прокомментировал публикацию: https://fb.com/l/by7<…>EI9 , в итоге злоумышленнику доступны имя + номер сотового.

Всё вышеизложенное было отправлено в ФБ, на что был получен вот такой вот ответ, который в принципе меня не удивил ни разу:

  • Правильные вопросы без ответов:
    • Какой TTL ссылок?
    • Есть ли он вообще?
    • Вы действительно думаете, что ФБ заботится о ваших персональных данных? 😃

Метки: ,

• Security researcher
• Penetration tester
• Just a good man :)

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Gravatar
Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Отмена

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.