reklama

Kdokoliv může odposlechnout sdílené odkazy na Facebooku a to i v Messengeru. Jde přitom o funkci, nikoliv chybu

Minulý týden jsme psali o chybě, která umožňovala útočníkům zpětně měnit obsah zpráv v komunikátoru Messenger. Facebook zareagoval poměrně rychle a chybu opravil. To se však s největší pravděpodobností nestane v následujícím případě, protože se jedná o funkci, byť nebezpečnou. Umožňuje totiž jednoduše zjišťovat odkazy na webové stránky, které si uživatelé sdílí přes Facebook – ať už na zdi, v soukromé skupině nebo dokonce přes Messenger.

Inti De Ceukelaire je vývojář, který na svém blogu popsal způsob, jak lze „odposlechnout“ sdílené odkazy. Využil k tomu základní schopnost vývojářského API, která umožňuje zavolat libovolný objekt na Facebooku jeho unikátním číslem. Ať už se jedná o fotku, profil, status nebo odkaz, který projde chatem ve Facebooku, dostane svoje ID a je uložen do databáze. Pokud k němu chce vývojář přistoupit, zavolá toto ID a v případě, že k tomu má oprávnění, obdrží volaný objekt.

Klepněte pro větší obrázek
ID je v tomto případě identifikátor jakéhokoliv objektu na Facebooku. Pokud jde o odkaz, vývojář si může zavolat také URL. Nezáleží přitom, zda byl sdílen veřejně na zdi nebo prostřednictvím Messengeru (zdroj: Medium)

Odkazy sdílené přes Messenger by přitom do databází nemusely být ukládány – jde přece o běžný text. Jenže v rámci chatu se nezobrazí jen odkaz, ale také náhled webu s titulkem a popiskem. A právě z toho důvodu je uložen v databázi Facebooku.

V tomto případě si tedy Inti De Ceukelaire napsal jednoduchý skript, který kontroloval jednotlivá ID s dotazem, zda se jedná o URL. A pokud tomu tak bylo, mohl na rozdíl od fotek nebo statusů získat i celou adresu. Ačkoliv nezjistí jméno uživatele, který odkaz odeslal, může se jednat o odkaz na citlivý obsah – ať už soukromé fotky nebo sdílený dokument v Google Docs.

Klepněte pro větší obrázek
Stačilo několik sekund a skript nasbíral desítky sdílených adres (zdroj: Medium)

Tento postup také reportoval jako kritickou chybu, nicméně z Facebooku mu přišla odpověď, že se jedná o běžné chování vývojářského API.

Mohlo by vás zajímat:

Témata článku: Sociální sítě, Bezpečnost, Facebook, Facebook Messenger, Share, You

10 komentářů

Nejnovější komentáře

  • George2005 13. 6. 2016 11:42:22
    Milí fríkulíni, co se všichni pořád divíte? Vždyt Mára Cukrblik přece...
  • karlos00x 13. 6. 2016 11:25:53
    Nejen na FB, ale i skype (a pred nedavnem i viber) me nejvic stve prave...
  • Ředitel ČTÚ 13. 6. 2016 10:00:46
    Njn tak 100 metrová anténa na orbitu všechno nezachytí že. :-D
reklama
Určitě si přečtěte

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 406

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

Český státní blacklist už funguje. Ministerstvo financí se pochlubilo s detaily

** Dva týdny po Novém roce zajím zeje prázdnotou ** Ministerstvo vydalo metodický pokyn ** Takhle to bude fungovat v praxi

16.  1.  2017 | Jakub Čížek | 49

8 produktů, o kterých byste neřekli, že nesou značku Apple

8 produktů, o kterých byste neřekli, že nesou značku Apple

** Věděli jste, že Apple vyvinul celkem 45 modelů tiskáren? ** ** Monitor na výšku, plotter nebo herní konzole - to vše měl Apple ve své nabídce ** Většinu z těchto produktů pohřbil Steve Jobs

19.  1.  2017 | Stanislav Janů | 42

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

** Strojové učení lze skvěle použít pro vylepšení modelů pro předpověď srdečních komplikací ** Nová technologie umožňuje přesněji určit rizikové pacienty ** Dřívější diagnostika může díky včasně léčbě do budoucna zachránit životy

Včera | Karel Javůrek | 6


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama