Facebook security vulnerability shows your phone

15ae14ebcd7eba1d2512eb81d0ed4784 bb2
blog banner ired inner pages

Κενό ασφαλείας στο Facebook που φανερώνει τα τηλέφωνα των χρηστών ακόμη κι αν τα έχουν κρυφά.

Το θέμα της ασφάλειας είναι ένα αέναο παιχνίδι της «γάτας με το ποντίκι» όπως φαίνεται, καθώς, κάθε μέρα που περνάει σχεδόν, θα μάθουμε και για ένα νέο πρόβλημα στην ασφάλεια υπολογιστών, δικτύων και συναφών συσκευών ή υπηρεσιών. Αυτό που θα σας παρουσιάσουμε σήμερα, είναι πραγματικά πολύ μεγάλο και σοβαρό καθώς επηρεάζει περίπου 1,5 δις χρήστες του γνωστού μέσου κοινωνικής δικτύωσης Facebook.

Η Reza Moaiandin λοιπόν, τεχνικός διευθυντής στην εταιρία Salt Agency, ανακάλυψε ένα κενό ασφαλείας στο Facebook που επιτρέπει σε χάκερ να βρουν το τηλέφωνό σας ακόμη κι αν το έχετε δηλώσει ως απόρρητο. Να πώς δουλεύει και πως να προστατευτείτε.

See also: Έχει δίκιο ο Tim Cook; “Δεν πρέπει να δίνουμε τα ιδιωτικά μας δεδομένα στην Google»

Πώς δουλεύει

Το πεδίο αναζήτησης του Facebook μας βοηθάει να βάζουμε ένα όνομα και να ψάχνουμε να βρούμε κάποιο άτομο – εφόσον έχει λογαριασμό στο Facebook – λίγοι όμως γνωρίζουν ότι, αν βάλουμε ένα τηλέφωνο η αναζήτηση επίσης λειτουργεί και βρίσκει τον αντίστοιχο κάτοχο του τηλεφώνου αυτού. Κι αν νομίζετε ότι το να θέσετε τον αριθμό σας ως απόρρητο θα τον προστατεύσει, τότε ξανασκεφθείτε το. Δυστυχώς η ρύθμιση του απορρήτου λειτουργεί μόνο στο να μη φαίνεται το τηλέφωνό σας στο προφίλ όταν το βλέπουν μη-φίλοι.

ired tech news facebook security gap 01

The Facebook έχει μια επιπλέον ρύθμιση που επιτρέπει να σας αναζητήσουν μέσω του τηλεφώνου ή του email σας και αυτή η ρύθμιση είναι εξ’ ορισμού δημόσια (public). Αυτό σημαίνει ότι οποιοσδήποτε βρει κάπου ένα τηλέφωνο, μπορεί να το χρησιμοποιήσει για να ανακαλύψει διευθύνσεις, περιοχή, φωτογραφίες και ό,τι άλλο χρειάζεται από τα στοιχεία του συγκεκριμένου κατόχου του τηλεφωνικού αριθμού. Θα σκεφθείτε ότι δεν πειράζει, εφόσον, λογικά, το τηλέφωνό σας το έχουν φίλοι και συγγενείς.

Hellooooo, που λένε σήμερα, δεν είναι καθόλου έτσι. Υπάρχουν ένα σωρό εταιρίες που ενδιαφέρονται για τα προσωπικά μας στοιχεία και ένας χάκερ μπορεί να γράψει ένα απλό script που μπορεί να έχει εκατομμύρια τηλεφωνικούς αριθμούς μιας συγκεκριμένης περιοχής και μετά, χρησιμοποιώντας το Facebook ΑΡΙ, μπορούν να κάνουν μια αναζήτηση που θα τους παρέχει όλα τα προσωπικά στοιχεία των κατόχων των συγκεκριμένων τηλεφωνικών αριθμών. Σκεφθείτε τι σημαίνει αυτό την επόμενη φορά που θα σας ενοχλήσουν σε άσχετη ώρα και στιγμή για να σας «προσφέρουν» κάτι με βάση τις προτιμήσεις σας για να πω το λιγότερο. Αντίο ιδιωτική ζωή γι’ άλλη μια φορά.

See also: Νέο, σοβαρό κενό ασφαλείας στα SMS και στις φωνητικές κλήσεις

Τι μπορεί να κάνει το Facebook;

Ο Moaiandin συμβουλεύει το Facebook να θέσει όριο στις αναζητήσεις και να βάλει ένα πρόγραμμα που να αναγνωρίζει συγκεκριμένα patterns που θα δείχνουν ότι κάποιο αυτοματοποιημένο script κάνει την αναζήτηση προς άγραν προσωπικών στοιχείων των χρηστών. Βέβαια το καλύτερο θα ήταν να κρυπτογραφούνται τα δεδομένα των χρηστών.

ired tech news facebook security gap 02

Για πρώτη φορά επικοινώνησε τον Απρίλιο με τους υπευθύνους του Facebook, αλλά αυτοί δε φαίνεται να κατάλαβαν το πρόβλημα. Αφού περίμενε λίγο καιρό, επικοινώνησε και πάλι μαζί τους τον περασμένο μήνα και έλαβε την απάντηση:

Ευχαριστούμε που μας γράψατε. Έλεγξα τον κώδικα και φαίνεται πως όντως υπάρχει πρόβλημα. Δεν το θεωρούμε ζήτημα ασφαλείας γιατί υπάρχει δυνατότητα για να ελεγχθεί η κατάχρηση.

«Μ’ άλλα λόγοι ν’ αγαπιόμαστε» που λένε, αυτό σημαίνει ότι το Facebook έχει κάποιους περιορισμούς για να εμποδίσει τους χάκερ, αλλά αυτοί δεν είναι και τόσο αυστηροί.

See also: No iOS Zone: a security vulnerability wirelessly threatens all Apple devices

Τι μπορούμε να κάνουμε

Τα καλά νέα είναι ότι δε χρειάζεται να περιμένουμε να «ξυπνήσουν» εκεί στο Facebook και να διορθώσουν το πρόβλημα. Ακολουθείστε τον παρακάτω οδηγό και θα προστατεύσετε το τηλέφωνο – και κατ’ επέκταση τα προσωπικά σας στοιχεία – από οποιονδήποτε θέλει να τα βρει μέσω του κενού ασφαλείας του Facebook.

Εικόνα 2

  • Ανοίξτε το Facebook στον browser σας ή την αυτόνομη εφαρμογή του (για κινητά και tablet) και πηγαίνετε στις Settings (Settings).
  • Επιλέξτε Απόρρητο (Privacy) στο αριστερό πλαίσιο.
  • Βρείτε το Ποιος μπορεί να με βρει (Who Can Look Me Up) στο δεξί πάνελ (τελευταία επιλογή).
  • Επιλέξτε το Ποιος μπορεί να με βρει με βάση το τηλέφωνο που δήλωσα; (Who can look me up using the phone number you provided?) και αλλάξτε την επιλογή σε Φίλοι of φίλων (Friends of Friends) ή απλά Φίλοι (Friends). Το Φίλοι είναι η μέγιστη προστασία.
  • Μπορείτε να κάνετε ακριβώς το ίδιο και γα το email σας (η πρώτη από τις τρεις επιλογές) αλλά είναι πάρα πολύ δύσκολο για ένα χάκερ να φτιάξει ένα script για τα email, οπότε δεν κρίνεται απαραίτητο.

Αυτά για την ώρα και ας ελπίσουμε εκεί στο Facebook να αρχίσουν να βλέπουν στα σοβαρά τα θέματα ιδιωτικότητας και απορρήτου (το άλλο με τον Τοτό το ξέρεις;).

See also: Stagefright: Προσοχή, σοβαρός κίνδυνος στις συσκευές Android

from Elichord

See more:

RELATED PROJECTS