La ricerca telefonica di Facebook può essere sfruttata per trovare numeri di persone, i ricercatori dicono

Gli aggressori possono abusare della funzione di ricerca telefonica di Facebook per trovare numeri di telefono validi e il nome dei loro proprietari, secondo i ricercatori di sicurezza.

L'attacco è possibile perché Facebook non limita il numero di ricerche di numeri di telefono che possono essere eseguite da un utente tramite la versione mobile del suo sito web, Suriya Prakash, un ricercatore indipendente in materia di sicurezza ha detto in un recente post sul blog.

Facebook consente agli utenti di associare i loro numeri di telefono con i loro account. Se è vero, è necessario un numero di cellulare per verificare qualsiasi nuovo account Facebook e sbloccare funzionalità come il caricamento di video o la personalizzazione dell'URL del tempo.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Quando si aggiungono numeri di telefono nella sezione "Informazioni di contatto" delle rispettive pagine del profilo di Facebook, gli utenti possono scegliere se rendere queste informazioni visibili al pubblico, solo ai loro amici o se vogliono tenerle per sé, che è una buona opzione di privacy.

Facebook consente inoltre agli utenti di trovare altre persone sul sito Web cercando i numeri di telefono di quelle persone in formato internazionale.

Gli utenti possono controllare chi può individuarli utilizzando questo metodo tramite un'opzione in "Impostazioni privacy"> "Come Connetti ">" Chi può visualizzarti usando l'indirizzo email o il numero di telefono che hai fornito? " che è impostato per impostazione predefinita su "Tutti".

Ciò significa che anche se si imposta la visibilità del numero di telefono su "Solo me" nella pagina del profilo, chiunque conosca il proprio numero di telefono sarà comunque in grado di trovarti su Facebook a meno cambi la seconda impostazione in "Amici" o "Amici di amici". Non è possibile impedire a tutti di localizzare il profilo utilizzando il proprio numero di telefono.

Poiché la maggior parte delle persone non modifica il valore predefinito di questa impostazione, è possibile che un utente malintenzionato generi un elenco di numeri di telefono sequenziali all'interno di una scelta intervallo - ad esempio da un operatore specifico - e utilizzare la casella di ricerca di Facebook per scoprire a chi appartengono, ha detto Prakash. Collegare un numero di telefono casuale a un nome è il sogno di ogni inserzionista e questo tipo di elenchi richiederebbe un grande prezzo sul mercato nero, ha detto.

Prakash afferma di aver condiviso questo scenario di attacco con il team di sicurezza di Facebook in agosto e dopo un risposta iniziale del 31 agosto tutte le sue e-mail sono rimaste senza risposta fino al 2 ottobre, quando un rappresentante di Facebook ha risposto e ha affermato che la velocità con cui gli utenti possono essere trovati sul sito Web con qualsiasi mezzo, compresi i numeri di telefono, è limitata.

Tuttavia, la versione mobile del sito web di Facebook - m.facebook.com - non sembra avere alcuna limitazione della frequenza di ricerca, ha detto Prakash.

Il ricercatore ha generato numeri con prefissi di Stati Uniti e India e ha creato una semplice dimostrazione di concetto (PoC) script macro che li ha cercati su Facebook e salvato quelli che sono stati trovati associati ai profili di Facebook, insieme ai nomi dei loro proprietari.

Prakash ha detto che ha deciso di rivelare pubblicamente la vulnerabilità di alcuni giorni a poppa mandando il suo script PoC su Facebook, perché la società non ha risposto. Anche Prakash ha pubblicato 850 numeri di telefono parzialmente offuscati e nomi associati che, ha affermato, rappresentavano una piccolissima parte dei dati ottenuti durante i suoi test.

"È stata circa una settimana da quando ho iniziato a eseguirlo e non ho ancora stato bloccato ", ha detto Prakash lunedì via e-mail. "Li ho anche informati [Facebook] oggi mattina (ora indiana) ancora nessuna risposta."

Facebook non ha restituito una richiesta di commento inviata lunedì.

Un altro ricercatore prova

A seguito della divulgazione pubblica di Prakash, Tyler Borland, un ricercatore di sicurezza con il fornitore di sicurezza di rete Alert Logic, ha creato uno script ancora più efficiente che può eseguire contemporaneamente fino a dieci processi di ricerca telefonica su Facebook. Lo script di Borland si chiama "Facebook phone crawler" e può cercare numeri di telefono da un intervallo specificato dall'utente.

"Con le impostazioni predefinite sono riuscito a verificare i dati per 1 numero di telefono al secondo", ha detto Borland via e-mail lunedì. "Loro [Facebook] non impiegano alcun tipo di limitazione dei tassi o non ho ancora raggiunto quel limite. Ancora una volta, ho inviato centinaia di richieste entro brevi intervalli di tempo e non è successo nulla."

Con la sceneggiatura di Borland in esecuzione su un grande botnet: oltre 100.000 computer, un hacker potrebbe trovare i numeri di telefono e i nomi della maggior parte degli utenti di Facebook con numeri di cellulare associati ai propri account in pochi giorni, ha detto Prakash.

È inquietante che questa vulnerabilità sia ancora aperta e ci siano strumenti pubblici disponibili per sfruttarlo, ha detto Bogdan Botezatu, analista senior di e-threat presso il fornitore di antivirus Bitdefender, via e-mail lunedì. Pochissimi utenti modificano le loro impostazioni di privacy predefinite, ha detto.

Questo è un altro esempio di come una grande funzionalità possa finire maltrattata se i meccanismi di sicurezza sono implementati male o sono completamente mancanti, ha detto Botezatu. "A differenza dei messaggi di posta elettronica o dei commenti sul blog, avvicinarsi a un utente per telefono è molto più efficace in un attacco di lancia (voice phishing), soprattutto perché l'utente del computer non è a conoscenza del fatto che il suo numero di telefono potrebbe essere finito nel mani sbagliate. Insieme alle informazioni degli utenti nel loro profilo, un utente malintenzionato può convincere l'utente a consegnare le informazioni personali in poco tempo. "

Gli attacchi di phishing vocale e altri tipi di truffe telefoniche sono comuni e il loro tasso di successo è già alto, Botezatu

"Ora immagina che questi truffatori ti indirizzino con il tuo nome completo e confermino le loro dichiarazioni con informazioni su di te prese direttamente dal tuo profilo [Facebook]." Botezatu ha detto.