Car-tech

攻撃者はFacebookの電話検索機能を悪用して有効なものを見つけることができるセキュリティー研究者によれば、攻撃者は有効な電話番号と所有者の名前を見つけるためにFacebookの電話検索機能を悪用する可能性があるとセキュリティ研究者によると、

ACQUAのじかん12月19日予告ムービー

ACQUAのじかん12月19日予告ムービー
Anonim

Facebookは、ユーザーが自分の電話番号彼らのアカウントで実際には、新しいFacebookアカウントを確認したり、ビデオアップロードやタイムラインURLのパーソナライズなどの機能をロック解除するために携帯電話番号が必要です。

[詳しい情報:Windows PCからマルウェアを削除する方法]

それぞれのFacebookプロファイルページの "連絡先情報"セクションで、ユーザーはこの情報を一般のユーザーに公開するか、友だちにのみ公開するか、自分自身に保存するかを選択できます。

Facebookはまた、国際的な形式でその人の電話番号を検索することによって、ウェブサイト上の他の人々を見つけることもできます。

"プライバシー設定"> Connect ">"あなたが提供した電子メールアドレスまたは電話番号を使用して誰があなたを見ることができますか? "これは、デフォルトで「Everyone」に設定されています。これは、プロフィールページで電話番号の表示を「Meのみ」に設定しても、あなたの電話番号を知っている人は誰でもFacebookであなたを見つけることができます2番目の設定を「フレンド」または「フレンドのフレンド」に変更します。

ほとんどの人はこの設定のデフォルト値を変更しないので、攻撃者は選択した範囲内で連続した電話番号のリストを生成することができますたとえば特定のオペレータからのもので、Facebookの検索ボックスを使用して、自分が誰であるかを調べることができます。 Prakashは、8月にFacebookのセキュリティチームとこの攻撃のシナリオを共有したと主張している。彼は、電話番号をランダムに接続することは広告主の夢であり、 8月31日に最初の返答があったが、Facebookの担当者が10月2日に返答し、電話番号などの手段でユーザーがウェブサイト上で見つけられる割合は制限されていた。しかし、モバイル版のFacebookのウェブサイト-m.facebook.comでは、検索速度に制限がないようだとプラカシュ氏は話す。

研究者は、米国とインドの国別プレフィックスで数字を生成し、 Facebook上でそれらを検索し、Facebookのプロフィールに関連付けられているものとその所有者の名前を保存した概念(PoC)マクロスクリプト

Prakashは、数日前にこの脆弱性を一般公開することにした後部会社が応答しなかったので、Facebookに彼のPoCスクリプトを送った。 Prakashは850件の部分的に難読化された電話番号とそれに関連する名前を公開したが、テスト中に得たデータのごく一部を占めていた。

Prakashは月曜日電子メールで言った。

Facebookはコメントのリクエストを月曜日に返さなかった。

Prakashの公開を受けた別の研究者が

Tyler Borlandを公開し、ネットワークセキュリティベンダーのAlert Logicを抱えるセキュリティ研究者は、同時に最大10件のFacebook電話検索プロセスを実行できるさらに効率的なスクリプトを作成しました。ボーランドのスクリプトは "Facebook phone crawler"と呼ばれ、ユーザー指定の範囲から電話番号を検索できます。

「デフォルト設定では毎秒1つの電話番号のデータを確認できました」とBorland氏は月曜日に電子メールで語った。また、ボーランドのスクリプトは大規模で実行されているため、何も起こっていない。ボットネット上の10万台以上のコンピュータが攻撃者になったため、攻撃者は数日以内にアカウントに関連付けられた携帯電話番号を持つほとんどのFacebookユーザーの電話番号と名前を見つけることができたとプラカシ氏は話す。アンチウィルスベンダーBitdefenderの上級電子脅威アナリスト、Bogdan Botezatu氏は、月曜日の電子メールを介して、このツールを利用するための公開ツールを提供していると語った。 Botezatu氏によると、これはデフォルトのプライバシー設定を変更するユーザーはほとんどいないという。同氏は、これは安全メカニズムがうまく実装されていないか、あるいは完全に欠落していると、 「電子メールメッセージやブログコメントとは異なり、電話でユーザーに近づくことは、音声フィッシング攻撃の方がはるかに効果的です。その理由は、コンピュータユーザーが電話番号が間違った手札を作成することができます。プロファイル内のユーザー情報と組み合わせることで、攻撃者はユーザーにすぐに個人情報を渡すことができます。」音声フィッシング攻撃やその他の種類の電話詐欺は一般的で、成功率はすでに高いです。

「これらの詐欺師があなたの氏名であなたに対処し、あなたの[Facebook]プロフィールから直接取ったあなたに関する情報で彼らの発言をバックアップすると想像してください。 Botezatuは言った。