התגברות על הכשלה עצמית + תרגיל לשליטה בדיבור
התקיפה עלולה להתעלל בתכונת חיפוש הטלפון של פייסבוק כדי למצוא מספרי טלפון חוקיים ואת שם בעליהם, על פי חוקרי אבטחה. אינו מגביל את מספר החיפושים של מספר טלפון שניתן לבצע על-ידי משתמש באמצעות הגרסה הניידת של האתר שלו, Suriya Prakash, חוקר אבטחה עצמאי אמר בפוסט שפורסם לאחרונה בבלוג.
Facebook מאפשר למשתמשים לשייך את מספרי הטלפון שלהם עם החשבונות שלהם. למעשה, נדרש מספר טלפון נייד כדי לאמת כל חשבון פייסבוק חדש ולבטל את הנעילה של תכונות כגון העלאת סרטון או התאמה אישית של כתובת אתר.
[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]
בעת הוספת מספרי טלפון את "פרטי קשר" בסעיף של דפי הפרופיל שלהם בהתאמה, המשתמשים יכולים לבחור אם הם רוצים להפוך את המידע הזה גלוי לציבור הרחב, רק לחברים שלהם או אם הם רוצים לשמור את זה לעצמם, אשר אפשרות פרטיות טובה.משתמשים יכולים לקבוע מי יכול לאתר אותם באמצעות שיטה זו באמצעות אופציה תחת "הגדרות פרטיות"> "כיצד אתה יכול למצוא אותם באמצעות שיטה זו? חבר ">" מי יכול לחפש אותך באמצעות כתובת הדוא"ל או מספר הטלפון שסיפקת? " אשר מוגדר כברירת מחדל ל "כולם".
משמעות הדבר היא שגם אם תגדיר את מספר הטלפון שלך ל'אני בלבד 'בדף הפרופיל שלך, כל מי שיודע את מספר הטלפון שלך עדיין יוכל למצוא אותך בפייסבוק, אלא אם כן אתה משנה את ההגדרה השנייה ל "חברים" או "חברים של חברים". אין אפשרות למנוע מכל אדם לאתר את הפרופיל שלך באמצעות מספר הטלפון שלך.
מכיוון שרוב האנשים אינם משנים את ערך ברירת המחדל של הגדרה זו, ייתכן שתוקף ייצור רשימה של מספרי טלפון רציפים בתוך לדוגמה, ממפעיל מסוים - והשתמש בתיבת החיפוש של פייסבוק כדי לגלות למי הם שייכים, אמר פרקש. חיבור מספר טלפון אקראי לשם הוא חלום של כל מפרסם, ורשימות מסוג זה יביאו מחיר גדול בשוק השחור ", הוא אומר. הוא סיפר שהוא שיתף את תרחיש ההתקפה הזה עם צוות האבטחה של פייסבוק באוגוסט, ואחרי תגובה ראשונית ב -31 באוגוסט כל הודעות האימייל שלו לא נענו עד ה -2 באוקטובר, כאשר נציג פייסבוק הגיב ואמר כי השיעור שבו משתמשים ניתן למצוא באתר באמצעות כל אמצעי, כולל מספרי טלפון, הוא מוגבל. עם זאת, נראה שהגרסה הניידת של אתר האינטרנט של פייסבוק - m.facebook.com - אינה מגבילה את כל מגבלות החיפוש, אמר Prakash.
החוקר יצר מספרים עם קידומות של ארצות הברית והודו ויצר גרסה פשוטה של הוכחה, (PoC), שחיפש אותם בפייסבוק והציל את אלה שנמצאו כקשורים לפרופילים של פייסבוק, יחד עם שמות בעליהם.
Prakash אמר כי החליט לחשוף בפומבי את הפגיעות כמה ימים אָחוֹר אה שולח את התסריט PoC לפייסבוק, כי החברה לא הגיבה. פרקאש אפילו פרסם 850 מספרי טלפון מעורפלים חלקית ושמות הקשורים אליהם, הוא טען, מייצג חלק קטן מאוד מהנתונים שקיבל במהלך הבדיקות שלו.
"זה היה בערך שבוע מאז שהתחלתי לרוץ, ועדיין לא נחסם ", אמר פרקש. "אפילו שלחתי להם [פייסבוק] היום בבוקר (שעון הודו) עדיין אין תשובה."
פייסבוק לא החזיר בקשה להערה שנשלחו ביום שני.
עוד חוקר בדיקות
בעקבות פרסום פומבי של Prakash, טיילר בורלנד, חוקר אבטחה עם ספק האבטחה של רשת התראה Logic, יצר סקריפט יעיל עוד יותר שיכול לרוץ עד עשר פייסבוק תהליכי חיפוש בטלפון בו זמנית. התסריט של בורלנד נקרא "פייסבוק סורק הטלפון" והוא יכול לחפש מספרי טלפון מתוך טווח שצוין על ידי המשתמש"עם הגדרות ברירת המחדל הייתי מסוגל לאמת נתונים עבור מספר טלפון 1 בכל שנייה," אמר Borland באמצעות דוא"ל ביום שני. "הם [פייסבוק] לא מעסיקים כל סוג של הגבלת קצב או שלא פגעתי במגבלה הזו, ושוב שלחתי מאות בקשות בתוך זמן קצר ולא קרה כלום".
עם התסריט של בורלנד, יותר מ -100,000 מחשבים - תוקף יכול למצוא את מספרי הטלפון ואת השמות של רוב משתמשי פייסבוק עם מספרים ניידים הקשורים לחשבונות שלהם בתוך ימים, אמר Prakash.
זה מפריע כי פגיעות זו עדיין פתוחה וישנם, אמר בוגדאן בוטאטו, בוגדאן בוטזטו, אנליסט בכיר בתחום האיומים של ספקית האנטי-וירוס Bitdefender, בדוא"ל ביום שני. מעט מאוד משתמשים שינו את הגדרות הפרטיות שלהם כברירת מחדל, זוהי דוגמה נוספת לאופן שבו תכונה גדולה יכולה להתעלל אם מנגנוני הבטיחות מיושמים בצורה גרועה או חסרים לחלוטין, אמר בוטאטו. "שלא כמו הודעות דואר אלקטרוני או תגובות בבלוג, התקרבות למשתמש באמצעות הטלפון היא הרבה יותר יעילה בהתקפה של חנית [דיוג קולי], בעיקר משום שמשתמש המחשב אינו מודע לכך שמספר הטלפון שלו הסתיים עם מידע המשתמשים בפרופיל שלהם, תוקף יכול לשכנע את המשתמש למסור מידע אישי תוך זמן קצר. "
התקפות פישינג קוליות וסוג אחר של הונאות טלפון נפוצים ושיעור ההצלחה שלהם כבר גבוה, Botezatu אמר: "עכשיו דמיינו שהנוכלים האלה פונים אליכם בשמך המלא וגבו את ההצהרות שלהם עם מידע אודותכם שאתם לוקחים ישירות מפרופיל [פייסבוק] שלכם". אמר בוטזאטו
משחק שמות פורנוגרפיים יש כמה וריאציות, אבל המידע כי כל הגרסאות לעורר זהה. כדי למצוא את "שם הפורנו" שלך מתבקשים לקחת את שם חיית המחמד הראשונה שלך, ולשלב אותו עם הרחוב שגדלת בו או שם הנעורים של אמך. מטופש, בטח. אבל תסתכל מקרוב: כל אלה הן שאלות אבטחה נפוצות. על ידי הפעלת המשחק, אתה יכול לחשוף מידע פרטי, כי נוכלים אינטרנט יכול להשתמש כדי לגשת אל חשבונות מקוונים שלך מידע בנק.
[קרא עוד: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]
אנשים ללא תשלום חיפוש מנועי חיפוש כדי למצוא מישהו בקלות
אנשים מנועי החיפוש לעזור לך למצוא אנשים באמצעות מספר טלפון, כתובת דוא"ל וכו `השתמש אלה אנשים מחפשים אנשים & שירותים כדי לאתר אנשים.
ייתכן שתסכימו על קומץ קבצים שהורדו ממחברים לא מוכרים, והם נושאים את הסיכון להפעלת וירוסים מסוימים. קבצים אלה כוללים קוד הפעלה ולכן הם מסוכנים. מה שמדאיג, האיום עולה באופן אקספוננציאלי כאשר יותר אנשים יש גישה לאותה מכונה. לדוגמה, בסביבה ביתית, ילדים או אנשים אחרים שאין להם ידע רב על תוכנות זדוניות עלולים בסופו של דבר להוריד קובץ שעלול להכיל תוכנות זדוניות. אם יש לך תוכנת אנטי וירוס מותקן, טוב וטוב. אבל אם אתה לא רוצה אנשים להוריד קבצים מהאינטרנט למחשב שלך, כאמצעי זהירות נוסף אתה יכול להשבית את הא
בטל אפשרות הורדה קובץ ב- IE