Facebooks telefonsökning kan missbrukas för att hitta människors nummer, säger forskare

Attackers kan missbruka Facebooks telefonsökfunktion för att hitta giltiga telefonnummer och deras ägares namn, enligt säkerhetsforskare.

Angreppet är möjligt eftersom Facebook begränsar inte antalet telefonnummersökningar som kan utföras av en användare via den mobila versionen av webbplatsen, Suriya Prakash, en oberoende säkerhetsforskare sa i ett nytt blogginlägg.

Facebook tillåter användare att associera sina telefonnummer med sina konton. Om faktum krävs ett mobilnummer för att verifiera eventuella nya Facebook-konton och låsa upp funktioner som videoöverföring eller tidslinjepersonalisering av webbadresser.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

När du lägger till telefonnummer i I avsnittet "Kontaktinformation" på deras respektive Facebook-profilsidor kan användarna välja om de vill göra den här informationen synlig för allmänheten, endast för sina vänner eller om de vill behålla det själv, vilket är ett bra integritetsalternativ.

Facebook tillåter även användare att hitta andra personer på webbplatsen genom att söka efter personens telefonnummer i internationellt format.

Användare kan styra vem som kan hitta dem med hjälp av den här metoden genom ett alternativ under "Sekretessinställningar"> "Hur du Anslut ">" Vem kan leta upp dig med hjälp av e-postadressen eller telefonnumret du angav? " som standard är inställt på "Alla."

Detta innebär att även om du anger ditt telefonnummer sikt på "Me Only" på din profilsida, kommer alla som känner till ditt telefonnummer fortfarande att kunna hitta dig på Facebook såvida inte Du ändrar den andra inställningen till "Vänner" eller "Vänner till vänner". Det finns inget alternativ för att hindra alla från att hitta din profil med ditt telefonnummer.

Eftersom de flesta inte ändrar standardvärdet för denna inställning är det möjligt för en angripare att skapa en lista över sekventiella telefonnummer inom en vald intervall - till exempel från en specifik operatör - och använd Facebooks sökrutan för att upptäcka vem de tillhör, sa Prakash. Att koppla ett slumpmässigt telefonnummer till ett namn är varje annonsörs dröm och dessa sorters listor skulle hämta ett stort pris på den svarta marknaden, sade han. Prakash hävdar att han delade detta angreppsscenario med Facebooks säkerhetslag i augusti och efter en första svaret den 31 augusti var alla sina e-postmeddelanden besvarade till 2 oktober när en Facebook-representant svarade och sa att den hastighet som användarna kan hitta på webbplatsen på något sätt, inklusive telefonnummer, är begränsad.

Den mobila versionen av Facebooks webbplats-m.facebook.com-verkar dock inte ha någon begränsning av sökfrekvensen, sade Prakash.

Forskaren genererade siffror med prefix från USA och Indien och skapade en enkel proof-of- koncept (PoC) makroskript som sökte efter dem på Facebook och sparade de som visade sig vara associerade med Facebook-profiler, tillsammans med deras ägares namn.

Prakash sa att han bestämde sig för att offentligt avslöja sårbarheten några dagar akter- Han skickar sitt PoC-skript till Facebook, eftersom företaget inte svarade. Prakash publicerade till och med 850 850 delvis obfuscerade telefonnummer och associerade namn, vilket han påstod representerade en mycket liten del av de uppgifter han erhållit under sina tester. "Det har gått ungefär en vecka sedan jag började köra den och jag har fortfarande inte blivit blockerad, sade Prakash måndag via e-post. "Jag informerade dem till och med [Facebook] idag imorgon (indisk tid) fortfarande inget svar."

Facebook returnerade inte en begäran om kommentar skickad måndag.

En annan forskartest

Efter Prakashs offentliggörande, Tyler Borland, en säkerhetsforskare med nätverkssäkerhetsförsäljaren Alert Logic, skapade ett ännu effektivare skript som kan springa upp till tio Facebook-telefonsökprocesser samtidigt. Borlands skript heter "Facebook-sökrobot" och kan söka efter telefonnummer från ett användargränssnitt.

"Med standardinställningarna kunde jag verifiera data för ett telefonnummer varje sekund," sa Borland via e-post på måndag. "De [Facebook] använder inte någon form av räntesänkning eller jag har inte träffat den gränsen än. Återigen skickade jag hundratals förfrågningar inom korta tidsintervaller och ingenting hände."

Med Borlands skript körs på en stor botten-över 100.000 datorer - en angripare kunde hitta telefonnummer och namn på de flesta Facebook-användare med mobilnummer i samband med sina konton om några dagar, säger Prakash.

Det är störande att denna sårbarhet fortfarande är öppen och det finns offentliga verktyg som är tillgängliga för att utnyttja det, säger Bogdan Botezatu, en äldre e-hotanalytiker hos antivirusleverantören Bitdefender, via e-post på måndag. Mycket få användare ändrar sina standard integritetsinställningar, sa han.

Detta är ett annat exempel på hur en bra funktion kan hamna missbruket om säkerhetsmekanismerna är dåligt genomförda eller helt saknas, sa Botezatu. "Till skillnad från e-postmeddelanden eller bloggkommentarer är det väldigt effektivare att närma sig en användare via telefon mycket effektivt vid ett angreppsfiske (voice phishing) attack, främst för att datoranvändaren inte är medveten om att hans telefonnummer kan ha hamnat i Felaktiga händer. I kombination med användarinformationen i sin profil kan en angripare övertyga användaren om att lämna personuppgifter på nolltid. "

Röstfiskeangrepp och andra typer av bluffar är vanliga och deras framgångsgrad är redan hög, Botezatu sade.

"Föreställ dig nu att dessa skurkar adresserar dig med ditt fulla namn och säkerhetskopierar deras uttalanden med information om dig som tagits direkt från din [Facebook] -profil." Botezatu sa.