Visualizzazione post con etichetta Facebook vulnerabilità. Mostra tutti i post
Visualizzazione post con etichetta Facebook vulnerabilità. Mostra tutti i post

Vulnerabilità di Facebook svela la lista contatti anche quando privata


La ricercatrice di sicurezza Irene Abezgauz del Quotium Seeker Research Center  ha individuato una falla di sicurezza nei controlli della privacy di Facebook. La vulnerabilità consente agli aggressori di visualizzare l'elenco amici di un utente sul social network. Questo attacco viene effettuato abusando della funzione "Persone che potresti conoscere", il meccanismo con cui Facebook suggerisce nuovi amici agli utenti.

Per impostazione predefinita il social network consente di accedere alla sezione Amici della propria Timeline, ma è possibile restringerne la visualizzazione o renderla privata modificando le Impostazioni della privacy. Con gli attacchi in aumento, Facebook è spesso preso di mira dagli hacker per le informazioni che possiede. Gli utenti si affidano alla piattaforma per mantenere la loro privacy al meglio delle capacità.

Per eseguire l'attacco, un utente malintenzionato deve creare un nuovo profilo su Facebook e inviare una richiesta di amicizia alla vittima. Anche se l'utente di destinazione non risponde alla richiesta di amicizia, per vedere l'elenco dei suoi amici basta utilizzare la funzione Trova Amici messa a disposizione dal social network. A questo punto Facebook comincia a suggerire all'attaccante gli utenti che potrebbe conoscere.

Fornendo la possibilità di fare clic su un pulsante "Mostra tutti" per convenienza. Le persone che vengono suggerite sono gli amici dell'utente vittima al quale l'attaccante ha inviato una richiesta di amicizia, anche se la sua lista amici e quella dei suoi amici è impostata su "privata". Abezgauz ha portato la questione all'attenzione di Facebook che però ha minimizzato il problema, dicendo che non è possibile vedere la lista amici completa.

"Se non avete amici su Facebook e inviate una richiesta di amicizia a qualcuno che ha scelto di nascondere la propria lista di amici completa dalla Timeline, è possibile vedere alcuni suggerimenti di amici che sono anche suoi amici. Ma non avete modo di sapere se i suggerimenti che vedete rappresentano la lista di amici completa di qualcuno", ha detto il social network in una dichiarazione.

Ma Abezgauz ha scritto che "la ricerca di questo problema ha dimostrato che la maggior parte della lista amici, spesso centinaia di amici, è disponibile per l'attaccante. In ogni caso, anche una lista di amici parziale è una violazione dei controlli della privacy scelta dall'utente". In breve, chiunque su Internet può scoprire i contatti di un utente Facebook o una parte di questi, anche se le amicizie sono private.


Via: Quotium
Pubblicato da alle Nessun commento:
Etichette: , , , , , , , , , , , ,

Bacheca Facebook di Mark Zuckerberg hackerata per evidenziare bug


Un hacker ha scoperto una grave vulnerabilità nel codice di Facebook, ma il team di sicurezza ha ignorato troppo a lungo la criticità del problema. La scoperta riguardava la possibilità di bypassare le impostazioni sulla privacy di qualsiasi utente Facebook. ''Prima di tutto, scusa per aver rotto la tua privacy e aver postato sulla tua bacheca. Mi chiamo Khalil''. Inizia così il messaggio pubblicato da uno sviluppatore palestinese sulla Timeline di Mark Zuckerberg.

Non ci sarebbe nulla di male se Khalil Shreateh fosse nella cerchia di amici del fondatore di Facebook; invece Khalil è un hacker (blog) che ha individuato un problema tecnico, in conseguenza del quale chiunque avrebbe potuto scrivere sulla bacheca di un estraneo. Il ricercatore, che come immagine del profilo ha la foto di Edward Snowden, ha infatti scoperto l'esistenza di un modo per aggirare le impostazioni della privacy e permettere la pubblicazione di post anche sulle Timeline degli utenti che non sono nella propria cerchia di amici.

Visto che i suoi avvertimenti sono stati ignorati dal team della sicurezza del social network, Khalil ha scelto la "soluzione drastica" e pubblicato un post sul profilo privato del suo fondatore, "impresa" che gli è costata la sospensione del proprio account "per precauzione". Eppure il ricercatore aveva cercato in tutti i modi di comunicare il bug alla società di Menlo Park: ha prima contattato il team della sicurezza segnalando la vulnerabilità tramite una e-mail. 


Poi ha dimostrato l'esistenza del bug pubblicando con il suo account sulla bacheca di Sarah Goodin, ex compagna di college di Zuckerberg, e ha incluso un link al suo post nella successiva e-mail. Ma anche questa segnalazione è rimasta inascoltata. Uno dei componenti del team sicurezza di Facebook - identificato come Emrakul - ha risposto che non poteva vedere il post poiché non era amico di Sarah Goodin. E all'insistenza di Khalil avrebbe risposto: "Mi dispiace questo non è un bug".

A questo punto l'hacker palestinese non ha avuto scelta: "Ok - ha scritto al team - non mi rimane che postare direttamente sulla bacheca di Mark''. E così ha fatto. Ola Okelola, altro security engineer di Facebook, ha commentato il post chiedendo a Shreateh stavolta delucidazioni sul bug: tuttavia, il palestinese si è ritrovato col proprio account disattivato come "precauzione". Facebook non ha più commentato la vicenda ma il bug dovrebbe essere stato risolto.

Con una nota dolente per il suo scopritore: Khalil Shreateh infatti non sarà ricompensato, così come previsto da parte della società per chiunque trovi una falla del sistema, perché - secondo quanto fa sapere il social network (come si legge su Hacker News) - ha violato la cosiddetta "politica di divulgazione". Facebook ha un programma di taglie dove paga le persone per segnalare i bug invece di usarli o venderli sul mercato nero.


Fonte: Dailymail
Via: Adnkronos
Foto da video
Pubblicato da alle Nessun commento:
Etichette: , , , , , , , , , , ,

Ricercatore trova vulnerabilità in Facebook Url reindirizzamento aperto


Il ricercatore di sicurezza Rafay Baloch sostiene di aver trovato una vulnerabilità open redirect in Facebook. Per dimostrare la sua scoperte, ha pubblicato un video del proof-of-concept sul suo blog. L'open redirect può essere utilizzato come trucco dai criminali informatici per far credere alle vittime che stanno per visitare un sito web sicuro, quando in realtà stanno venendo indirizzati a un dominio arbitrario.

Al fine di proteggere gli utenti contro gli attacchi che si basano su open redirect, Facebook ha implementato un sistema di sicurezza che avvisa i clienti nel caso in cui essi sono in procinto di visitare un sito potenzialmente dannoso, tuttavia, l'esperto ha individuato un modo per saltare - almeno in parte - questo meccanismo di protezione. Si tratta di una forma di uso illecito particolarmente grave perchè sfrutta la funzionalità del sito.


Quando un utente fa click su un link (incluso in un post o messaggio), Facebook se rileva che l'URL è dannoso, visualizzerà una pagina interstiziale prima che la request del browser rimandi effettivamente alla pagina sospetta. La vulnerabilità che ha scoperto è causata da una debolezza del parametro di filtro e non può essere utilizzato come un reindirizzamento completamento aperto, ma può essere utilizzato soltanto in una certa misura.

I rappresentanti del social network hanno riconosciuto l'esistenza del difetto, ma non è certo se affronteranno la questione nell'immediato futuro. "Questo endpoint contiene un parametro speciale che ne limita l'utilizzo a un numero limitato di computer e utenti, impedendo che venga usato come un completo open redirect", dice Facebook. URL vulnerabile: www.facebook.com/l.php?u=https://rafayhackingarticles.net&h=YAQH4kMuY&s=1.


Pubblicato da alle 1 commento:
Etichette: , , , , , , , , , , , ,
Iscriviti a: Post (Atom)