ICQ
Навигация
Главная
Карта сайта
Форум сайта
Поиск по сайту
Обратная связь

Разделы
Разное про ICQ
Для мобильного
Для компьютера
Сетевые новости

ICQ
Статус ICQ на сайте
Проверка ICQ статуса
Информер статуса ICQ

Загрузки
Файлы
IPDBrute
Скачать ICQ
Скачать JIMM
Мобильная ICQ

Магазин
On-Line ICQ магазин

RSS канал
Нас посетили
Понедельник1269
Вторник1413
Среда1438
Четверг1360
Пятница1312
Суббота1087
Воскресенье1200
Сейчас online:320
Было всего:6125689
Рекорд:28766
Ваш IP адрес

Ваш IP: 54.80.146.251
 

Facebook API позволяет получить доступ к любым отправленным ссылкам через Facebook Messenger

  | Сетевые новости 

Facebook API позволяет получить доступ к любым отправленным ссылкам через Facebook Messenger

На этой неделе специалисты по безопасности из Checkpoint нашли уязвимость, позволяющую изменять сообщения и ссылки, отправленные через мессенджер Facebook. Facebook быстро исправил этот баг, но пользователям удалось найти новую уязвимость, которая позволяет получить доступ ко всем ссылкам, когда-либо отправленным через мессенджер соцсети.

В основе уязвимости лежит принцип работы Facebook со ссылками. При первой отправке ссылки Facebook собирает всю информацию со страницы — от заголовка до картинки на превью, после чего сохраняет в базе данных под уникальными идентификационными номерами. Такой способ не дает возможности связать ссылки с аккаунтом, с которого они отправлены, но при должном терпении и большом количестве собранных данных теоретически можно сопоставить расшаренные ссылки с конкретными аккаунтами.


Пользователь блога Medium Инти Де Сеукелайре отмечает, что все ссылки получают уникальные номера, но никак не шифруются, это позволяет получить доступ к абсолютно любым ссылкам, которые хранятся в базе данных Facebook. Для проверки своей теории он использовал ссылку на файл в Google Docs, которую он отправил другу.

После отправки ссылки в мессенджере соцсети он получил уникальный номер на эту ссылку в Facebook debugger (инструменте, который позволяет находить ошибки в собираемой информации со страницы) и смог достать ссылку из базы данных через Facebook API. Примечательно, что Facebook сохраняет ссылки в своей базе данных только после клика на них — без этого они не регистрируются в базе.

При помощи простого скрипта Инти Де Сеукелайре сделал парсер с генератором уникальных идентификаторов, который позволяет найти хранящиеся в базе данных Facebook ссылки, отправленные в личных сообщениях в Facebook Messenger. Если бы Facebook использовала любое криптографически стойкое хеширование для генерации таких идентификаторов, то осуществить их подбор было бы практически невозможно. Сама по себе возможность подобрать идентификатор мало что даёт, а вот то, что среди объектов можно идентифицировать ссылки и извлечь их из базы независимо от принадлежности и настроек приватности, уже гораздо серьезнее.

Большинство пользователей не пострадает от такой уязвимости, но те, кто делятся через Facebook конфиденциальной информацией должны лишний раз задуматься о смене мессенджера.

После небольшого анализа уязвимости Инти Де Сеукелайре смог получить следующую информацию:

- Имена;
- Местоположение отправленных ссылок;
- Приложенные файлы, которые должны быть закрыты в рамках настроек конфиденциальности Facebook;
- Данные приложений: уровень друзей, их ники, а также многое другое;
- Ссылки на конфиденциальные документы и другой контент такого типа.

В ответ на запрос о необходимости исправления этой уязвимости представители Facebook ответили, что все действия были произведены в рамках существующей политики соцсети и не противоречат ей.

В мае пользователи подали иск против Facebook, в котором обвинили социальную сеть в сканировании персональных сообщений. Сканирование необходимо для обеспечения безопасности самих — например, фильтрации ссылок на вредоносные файлы, но некоторые опасаются, что Facebook использовала такие инструменты для маркетинговых целей.


   Вернуться назад  
Поиск по сайту




Подписка на новости

Введите свой Email:



Опрос
Кто какой программой для общения пользуется на смартфоне или планшете?

WhatsApp
Viber
Skype
Telegram
Facebook Messenger
Instagram
Vkontakte
Одноклассники
Mail.ru Агент
ICQ
ooVoo
Другая

  

  Результаты: 1624
На форуме
 1. ✯ Магазин Аккаунтов Uber • Eldorado • Mvideo • DNS • Avito
Время : 18/11/2017 в 01:04:00
Ymacasi
 2. Второй круг писем
Время : 17/11/2017 в 13:31:32
Ira
 3. Mail.Ru Agent
Время : 14/11/2017 в 21:45:44
luxemburg
 4. ICQ для Windows 10
Время : 14/11/2017 в 21:42:57
luxemburg
 5. Мега-распродажа красивых 5/6-знаков
Время : 13/11/2017 в 17:55:32
vovan-f
© Copyright 2005-2017 «Русская аська