reklama

Kdokoliv může odposlechnout sdílené odkazy na Facebooku a to i v Messengeru. Jde přitom o funkci, nikoliv chybu

Minulý týden jsme psali o chybě, která umožňovala útočníkům zpětně měnit obsah zpráv v komunikátoru Messenger. Facebook zareagoval poměrně rychle a chybu opravil. To se však s největší pravděpodobností nestane v následujícím případě, protože se jedná o funkci, byť nebezpečnou. Umožňuje totiž jednoduše zjišťovat odkazy na webové stránky, které si uživatelé sdílí přes Facebook – ať už na zdi, v soukromé skupině nebo dokonce přes Messenger.

Inti De Ceukelaire je vývojář, který na svém blogu popsal způsob, jak lze „odposlechnout“ sdílené odkazy. Využil k tomu základní schopnost vývojářského API, která umožňuje zavolat libovolný objekt na Facebooku jeho unikátním číslem. Ať už se jedná o fotku, profil, status nebo odkaz, který projde chatem ve Facebooku, dostane svoje ID a je uložen do databáze. Pokud k němu chce vývojář přistoupit, zavolá toto ID a v případě, že k tomu má oprávnění, obdrží volaný objekt.

Klepněte pro větší obrázek
ID je v tomto případě identifikátor jakéhokoliv objektu na Facebooku. Pokud jde o odkaz, vývojář si může zavolat také URL. Nezáleží přitom, zda byl sdílen veřejně na zdi nebo prostřednictvím Messengeru (zdroj: Medium)

Odkazy sdílené přes Messenger by přitom do databází nemusely být ukládány – jde přece o běžný text. Jenže v rámci chatu se nezobrazí jen odkaz, ale také náhled webu s titulkem a popiskem. A právě z toho důvodu je uložen v databázi Facebooku.

V tomto případě si tedy Inti De Ceukelaire napsal jednoduchý skript, který kontroloval jednotlivá ID s dotazem, zda se jedná o URL. A pokud tomu tak bylo, mohl na rozdíl od fotek nebo statusů získat i celou adresu. Ačkoliv nezjistí jméno uživatele, který odkaz odeslal, může se jednat o odkaz na citlivý obsah – ať už soukromé fotky nebo sdílený dokument v Google Docs.

Klepněte pro větší obrázek
Stačilo několik sekund a skript nasbíral desítky sdílených adres (zdroj: Medium)

Tento postup také reportoval jako kritickou chybu, nicméně z Facebooku mu přišla odpověď, že se jedná o běžné chování vývojářského API.

Mohlo by vás zajímat:

Témata článku: Sociální sítě, Bezpečnost, Facebook, Facebook Messenger, Share, You

10 komentářů

Nejnovější komentáře

  • George2005 13. 6. 2016 11:42:22
    Milí fríkulíni, co se všichni pořád divíte? Vždyt Mára Cukrblik přece...
  • karlos00x 13. 6. 2016 11:25:53
    Nejen na FB, ale i skype (a pred nedavnem i viber) me nejvic stve prave...
  • Ředitel ČTÚ 13. 6. 2016 10:00:46
    Njn tak 100 metrová anténa na orbitu všechno nezachytí že. :-D
reklama
Určitě si přečtěte

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

Včera | Jakub Čížek | 33

Nevyznáte se ve značení procesorů Intelu? Tady máte tahák

Nevyznáte se ve značení procesorů Intelu? Tady máte tahák

** Z označení procesorů Intelu se toho dá mnoho vyčíst ** Ze čtyř čísel se dozvíte něco o výkonu i grafickém jádru ** Poradíme, jak číst číselné označení i písmena na konci

13.  2.  2017 | Stanislav Janů | 37


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama