reklama

Kdokoliv může odposlechnout sdílené odkazy na Facebooku a to i v Messengeru. Jde přitom o funkci, nikoliv chybu

Minulý týden jsme psali o chybě, která umožňovala útočníkům zpětně měnit obsah zpráv v komunikátoru Messenger. Facebook zareagoval poměrně rychle a chybu opravil. To se však s největší pravděpodobností nestane v následujícím případě, protože se jedná o funkci, byť nebezpečnou. Umožňuje totiž jednoduše zjišťovat odkazy na webové stránky, které si uživatelé sdílí přes Facebook – ať už na zdi, v soukromé skupině nebo dokonce přes Messenger.

Inti De Ceukelaire je vývojář, který na svém blogu popsal způsob, jak lze „odposlechnout“ sdílené odkazy. Využil k tomu základní schopnost vývojářského API, která umožňuje zavolat libovolný objekt na Facebooku jeho unikátním číslem. Ať už se jedná o fotku, profil, status nebo odkaz, který projde chatem ve Facebooku, dostane svoje ID a je uložen do databáze. Pokud k němu chce vývojář přistoupit, zavolá toto ID a v případě, že k tomu má oprávnění, obdrží volaný objekt.

Klepněte pro větší obrázek
ID je v tomto případě identifikátor jakéhokoliv objektu na Facebooku. Pokud jde o odkaz, vývojář si může zavolat také URL. Nezáleží přitom, zda byl sdílen veřejně na zdi nebo prostřednictvím Messengeru (zdroj: Medium)

Odkazy sdílené přes Messenger by přitom do databází nemusely být ukládány – jde přece o běžný text. Jenže v rámci chatu se nezobrazí jen odkaz, ale také náhled webu s titulkem a popiskem. A právě z toho důvodu je uložen v databázi Facebooku.

V tomto případě si tedy Inti De Ceukelaire napsal jednoduchý skript, který kontroloval jednotlivá ID s dotazem, zda se jedná o URL. A pokud tomu tak bylo, mohl na rozdíl od fotek nebo statusů získat i celou adresu. Ačkoliv nezjistí jméno uživatele, který odkaz odeslal, může se jednat o odkaz na citlivý obsah – ať už soukromé fotky nebo sdílený dokument v Google Docs.

Klepněte pro větší obrázek
Stačilo několik sekund a skript nasbíral desítky sdílených adres (zdroj: Medium)

Tento postup také reportoval jako kritickou chybu, nicméně z Facebooku mu přišla odpověď, že se jedná o běžné chování vývojářského API.

Mohlo by vás zajímat:

Témata článku: Sociální sítě, Bezpečnost, Facebook, Facebook Messenger, Share, You

10 komentářů

Nejnovější komentáře

  • George2005 13. 6. 2016 11:42:22
    Milí fríkulíni, co se všichni pořád divíte? Vždyt Mára Cukrblik přece...
  • karlos00x 13. 6. 2016 11:25:53
    Nejen na FB, ale i skype (a pred nedavnem i viber) me nejvic stve prave...
  • Ředitel ČTÚ 13. 6. 2016 10:00:46
    Njn tak 100 metrová anténa na orbitu všechno nezachytí že. :-D
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 99

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 140

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

Včera | Jakub Čížek | 32


reklama