Kdokoliv může odposlechnout sdílené odkazy na Facebooku a to i v Messengeru. Jde přitom o funkci, nikoliv chybu

Kdokoliv může odposlechnout sdílené odkazy na Facebooku a to i v Messengeru. Jde přitom o funkci, nikoliv chybu

Minulý týden jsme psali o chybě, která umožňovala útočníkům zpětně měnit obsah zpráv v komunikátoru Messenger. Facebook zareagoval poměrně rychle a chybu opravil. To se však s největší pravděpodobností nestane v následujícím případě, protože se jedná o funkci, byť nebezpečnou. Umožňuje totiž jednoduše zjišťovat odkazy na webové stránky, které si uživatelé sdílí přes Facebook – ať už na zdi, v soukromé skupině nebo dokonce přes Messenger.

Inti De Ceukelaire je vývojář, který na svém blogu popsal způsob, jak lze „odposlechnout“ sdílené odkazy. Využil k tomu základní schopnost vývojářského API, která umožňuje zavolat libovolný objekt na Facebooku jeho unikátním číslem. Ať už se jedná o fotku, profil, status nebo odkaz, který projde chatem ve Facebooku, dostane svoje ID a je uložen do databáze. Pokud k němu chce vývojář přistoupit, zavolá toto ID a v případě, že k tomu má oprávnění, obdrží volaný objekt.

Klepněte pro větší obrázek
ID je v tomto případě identifikátor jakéhokoliv objektu na Facebooku. Pokud jde o odkaz, vývojář si může zavolat také URL. Nezáleží přitom, zda byl sdílen veřejně na zdi nebo prostřednictvím Messengeru (zdroj: Medium)

Odkazy sdílené přes Messenger by přitom do databází nemusely být ukládány – jde přece o běžný text. Jenže v rámci chatu se nezobrazí jen odkaz, ale také náhled webu s titulkem a popiskem. A právě z toho důvodu je uložen v databázi Facebooku.

V tomto případě si tedy Inti De Ceukelaire napsal jednoduchý skript, který kontroloval jednotlivá ID s dotazem, zda se jedná o URL. A pokud tomu tak bylo, mohl na rozdíl od fotek nebo statusů získat i celou adresu. Ačkoliv nezjistí jméno uživatele, který odkaz odeslal, může se jednat o odkaz na citlivý obsah – ať už soukromé fotky nebo sdílený dokument v Google Docs.

Klepněte pro větší obrázek
Stačilo několik sekund a skript nasbíral desítky sdílených adres (zdroj: Medium)

Tento postup také reportoval jako kritickou chybu, nicméně z Facebooku mu přišla odpověď, že se jedná o běžné chování vývojářského API.

Mohlo by vás zajímat:

Diskuze (10) Další článek: První nereferenční RX 480 je na světě. Sapphire vsadí na nový design chladiče

Témata článku: Facebook, Facebook Messenger, Sociální sítě, Bezpečnost, Sdílení, Funkce, Share, Stejné heslo, Sdílený dokument, Základní schopnost, Volaná zpráva, Jméno uživatele, Chyba, Libovolný objekt, Jednoduchý skript, Odkaz


Určitě si přečtěte

Praktické vychytávky, které si chcete doinstalovat do Windows

Praktické vychytávky, které si chcete doinstalovat do Windows

** Pokud vás nudí vzhled nabídky Start, snadno jej můžete změnit. ** Stejně tak existují programy na přidání záložek do programů. ** Spokojit se ani nemusíte se základním ovládáním hlasitosti.

Vladislav Kluska | 44

Pojďme programovat elektroniku: Blikající potvory i legendární displeje starých Nokií

Pojďme programovat elektroniku: Blikající potvory i legendární displeje starých Nokií

** Skoro každý kutil si koupí maličký levný OLED ** A také segmentový a znakový displej ** Pojďme se na některé z nich podívat

Jakub Čížek | 9

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Elektřina se vyrábí v elektrárnách, ale do zásuvek v našich domovech to pak má ještě hodně daleko. Dnes se na tuhle dlouhou cestu podíváme.

David Polesný | 81

Nový iPhone a další novinky Applu: sledujte, na co se zase budou stát fronty

Nový iPhone a další novinky Applu: sledujte, na co se zase budou stát fronty

** Apple dnes představuje nové produkty v čele s novými iPhony ** Nemusí zůstat jen u telefonů, čekají se i další novinky ** Úvodní přednáška začíná v 19:00 našeho času

David Polesný | 57

Proč je pro obézní lidi tak těžké shodit nadbytečná kila?

Proč je pro obézní lidi tak těžké shodit nadbytečná kila?

** Obézním lidem selhávají mechanismy, jež je mají chránit před nadměrným příjmem potravy ** Mozek tlouštíků ignoruje hormon leptin varující před hromaděním tukové tkáně v těle ** Vědci nyní odhalili, jak to udělat, aby mozek otupený obezitou leptin opět vnímal

Jaroslav Petr | 46

Tesla je stále ve ztrátě, ale elektromobily Model 3 se prodávají neuvěřitelně dobře

Tesla je stále ve ztrátě, ale elektromobily Model 3 se prodávají neuvěřitelně dobře

** Tesla má rekordní příjem, je ale ve ztrátě ** Objem výroby se zvyšuje, dochází ale baterie ** Pomoci mají nové továrny Gigafactory

Karel Javůrek | 93

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 66

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 34


Aktuální číslo časopisu Computer

Megatest: 13 grafických karet

Srovnání 7 dokovacích stanic s USB-C

Jak na perfektní noční fotografie

Kvalitní zdroje informací pro sebevzdělávání