La ricercatrice di sicurezza Irene Abezgauz del Quotium Seeker Research Center ha individuato una falla di sicurezza nei controlli della privacy di Facebook. La vulnerabilità consente agli aggressori di visualizzare l'elenco amici di un utente sul social network. Questo attacco viene effettuato abusando della funzione "Persone che potresti conoscere", il meccanismo con cui Facebook suggerisce nuovi amici agli utenti.
Per impostazione predefinita il social network consente di accedere alla sezione Amici della propria Timeline, ma è possibile restringerne la visualizzazione o renderla privata modificando le Impostazioni della privacy. Con gli attacchi in aumento, Facebook è spesso preso di mira dagli hacker per le informazioni che possiede. Gli utenti si affidano alla piattaforma per mantenere la loro privacy al meglio delle capacità.
Per eseguire l'attacco, un utente malintenzionato deve creare un nuovo profilo su Facebook e inviare una richiesta di amicizia alla vittima. Anche se l'utente di destinazione non risponde alla richiesta di amicizia, per vedere l'elenco dei suoi amici basta utilizzare la funzione Trova Amici messa a disposizione dal social network. A questo punto Facebook comincia a suggerire all'attaccante gli utenti che potrebbe conoscere.
Fornendo la possibilità di fare clic su un pulsante "Mostra tutti" per convenienza. Le persone che vengono suggerite sono gli amici dell'utente vittima al quale l'attaccante ha inviato una richiesta di amicizia, anche se la sua lista amici e quella dei suoi amici è impostata su "privata". Abezgauz ha portato la questione all'attenzione di Facebook che però ha minimizzato il problema, dicendo che non è possibile vedere la lista amici completa.
"Se non avete amici su Facebook e inviate una richiesta di amicizia a qualcuno che ha scelto di nascondere la propria lista di amici completa dalla Timeline, è possibile vedere alcuni suggerimenti di amici che sono anche suoi amici. Ma non avete modo di sapere se i suggerimenti che vedete rappresentano la lista di amici completa di qualcuno", ha detto il social network in una dichiarazione.
Ma Abezgauz ha scritto che "la ricerca di questo problema ha dimostrato che la maggior parte della lista amici, spesso centinaia di amici, è disponibile per l'attaccante. In ogni caso, anche una lista di amici parziale è una violazione dei controlli della privacy scelta dall'utente". In breve, chiunque su Internet può scoprire i contatti di un utente Facebook o una parte di questi, anche se le amicizie sono private.
Via: Quotium
Nessun commento:
Posta un commento