上周,曾透过镜像镜像方式挟持奥巴马Twitter的荷兰骇客@securinti,辨认出了从Facebook搜寻注册登记使用者联系方式的方式,他们一起来看一看。下列是@securinti刊登的网志:
不久前,我辨认出,透过Facebook能毫不费力地以获取到许多荷兰名流和外交家的联系方式。现阶段,虽然此种方式虽说只对像荷兰这种多于1120Bazas以内的小北欧国家有效率,但此种单纯而有效率的方式,却会让许多人的使用者对个人隐私受到影响。
当我把那个情形向Facebook的安全可靠项目组调查报告后,却获得了两个沮丧的申明,她们居然指出这显然并非两个安全可靠难题。
但我真的使用者对个人隐私TDATE2007,因此,在此我就申明来聊聊那个难题。
我指出的难题
假如在Facebook增设中,其对个人隐私附注,其“谁能透过智能手机搜寻到我”(Who can look you up using the phone number you provided?)是everyone状况,因此可能将就能透过我的方式搜寻出你的联系方式。
这儿存有两各方面的难题:
具体来说,该快捷键的everyone状况是自动更新;
其二,即便你在facai上将联系方式增设为“对个人由此可见”(Only me),但假如“Who can look you up using the phone number you provided?”是“everyone”状况,那样存有联系方式外泄难题。
“透过智能手机搜寻到我”本质上来说,是想搜寻你的人已经知道你的联系方式,而他能透过你的联系方式查看到你的Facebook账户,但在这儿的快捷键中,显然没有“only me”。
为了方便登录和找回密码,Facebook会不断地提醒使用者绑定联系方式,但假如你的Facebook帐号绑定了联系方式,因此你的联系方式可能将就存有外泄隐患。
测试实现
在这儿我需要用到的是Faceook在2013年推出的搜索引擎Graph Search,当你在搜索框中输入两个智能手机号码后,可能将就会获得两个相关使用者:
这种的方式,假如手工测试的话,费时又麻烦,而且在执行了1000次以内的搜索后,Facebook就会作出查询限制;当然,即便是用botnet方式,估计Facebook也会有相应限制措施。
为了验证,我以搜寻荷兰内政部长Jan Jambon的联系方式为例进行测试。
STEP 1:使用密码重置功能排除联系方式最后两位(1分钟)
基于此,我必须找到一种批量测试电话号码的方式,测试的位数越少,以获取的联系方式可能将就越多,搜寻到目标的可能将性也就越大。因此,能使用Facebook的密码重置功能排除掉联系方式最后两位:
STEP2:了解不同运营商联系方式格式(5-35分钟)
如04PPXXXX50,这就是两个典型的荷兰联系方式,其中X为0-10的任意数字,PP为运营商代号号码。
而且,不同的电话运营商都有的固定的号段,如0468、047、048和049:
由于Proximus是比
后,向Facebook“好友搜寻”功能中导入以上生成的号码表进行搜寻,此时,找到了以”Jan”开头的大量使用者,但她们都并非Jan Jambon。(在出现的Facebook反馈结果中,会提示说:You have 500 file_upload contacts on…,能不用管)
后,以此种方式,在继续尝试了0479号段后,终于辨认出了目标账户使用的运营商代号和号段:0477,现在的号码为:0477XXXX50,目标范围逐渐缩小,目标号码就在这剩下的10000种组合中。
STEP3: 缩小范围(10-15分钟)
最后,需要解决的就是许多单纯的数学难题了,他们先测试10000种可能将中的一半号码,即0477 0000 50 — 0477 5000 50,能看出目标账户出现在那个范围中:
这意味着目标账户联系方式的第5位只可能将是0,1,2,3,4中的一位,因此再继续使用半分测试法进行,先对0477 0000 50 – 0477 2500 50进行测试,能看到目标账户未出现在那个区间:
因此,最后就剩下0477 2500 50 – 0477 5000 50区间了,使用之前的方式,继续在1250、750、325、162和81区间进行半分测试,一直能测试到40个号码,20个号码,10个号码到最终的5个号码,后,辨认出目标。
STEP4:辨认出目标账户和与其匹配的联系方式(1分钟)
其实假如最后剩下40个可能将的号码,他们都能手动进行验证
后记
我尝试着将那个难题告知了荷兰内政部长Jan Jambon,而他表示并不知道Facebook外泄了他的联系方式,假如不存有滥用情形,他自己也不介意。
另外,他们还与一家当地电台合作,在直播中拨打了一位荷兰知名流士的智能手机,并告知他他们能透过Facebook找出他的联系方式,他们就此聊得非常愉快,后他便从Facebook上删除了绑定的联系方式。
有人指出,利用PayPal能辨认出使用者的后四位联系方式,因此假如目标使用者把PayPal和智能手机绑定的话,利用以上我的方式,能辨认出许多北欧国家受影响的使用者对个人联系方式。有兴趣的话,能自行尝试。
FAQ
这主要是什么难题?
由于Facebook对个人隐私安全可靠项“who can look me up by phone(透过智能手机号搜寻到我)”的自动更新为“everyone”,因此你的联系方式都会存有外泄风险。
对于许多小北欧国家来说,由于移动运营商提供的联系方式段空间范围较小,因此透过Facebook来搜寻目标使用者电话号码相对来说比较容易。
Facebook在facai中提供的将联系方式增设为“only me”(对自己由此可见)”其实并没有什么用。
哪些人会受到影响?
许多小北欧国家绑定了联系方式的Facebook使用者,假如没有修改默认的对个人隐私增设,可能将会受此难题影响。假如目标联系方式低于十位数,而通信运营商号段范围空间较小,以上测试方式就容易实现。
怎样知道自己是否受到影响?
点击这儿,检查“who can look me up by phone(透过联系方式搜寻到我)”查看增设,假如增设成了“Everyone”则受此影响。
假如受到影响应该怎样增设?
这是两个很矛盾的难题,因为双因素身份验证功能需要用到联系方式,而现阶段这也算是一种比较安全可靠的账户防护措施,因此可行的方式还是将“who can look me up by phone(透过联系方式搜寻到我)”增设为“only friends“(仅对好友由此可见)。
*参考来源:hackernoon,FB小编clouds编译,转载请注明来自FreeBuf.COM.