De ce nu trebuie să trimiți link-uri pe Facebook Messenger

de: George Stanciu
09 02. 2017

Link-urile trimise pe Facebook Messenger nu sunt atât de în siguranță pe cât ai crede, asta din cauza unei vulnerabilități ce încă este activă.

Pentru a înțelege cum funcționează vulnerabilitatea, trebuie să știm întâi cum funcționează link-urile trimise pe Facebook. Atunci când un link este trimis pentru prima dată prin intermediul site-ului, acesta extrage titlul, descrierea și imaginea asociată, apoi atașează un identificator unic și păstrează informația. Următoarea dată când același link este trimis, Facebook doar preia informația din baza de date.

Toate obiectele de pe Facebook, fie ele imagini, statusuri sau link-uri, primesc un număr de identificare ce nu este cronologic. Mark Zuckerberg, spre exemplu, are numărul 4. Prin intermediul API-ului Facebook (interfața creată pentru dezvoltatori), se poate cere un obiect folosind numărul său, dar site-ul va oferi informația cerută doar dacă ai permisiunea să o accesezi. Astfel, nu ai putea accesa conținutul privat al altcuiva.

Folosind API-ul, poți să faci o cerere către site pentru a-ți fi afișate link-uri folosind numerele de identificare. Astfel, poți să accesezi cu ușurință link-ul pe care cineva îl trimite într-o conversație privată, așa cum se arată în acest articol. Folosind unealta de debugging a Facebook, poți obține numărul de identificare asociat unui link. Apoi, tot ceea ce trebuie să faci este să faci o cerere prin API pentru a primi link-ul respectiv.

Odată ce faci această cerere, link-ul devine disponibil și îl poți accesa. În experimentul făcut de cel ce a descoperit această problemă, link-ul este unul al unui document din Google Docs, ce ar trebui să fie privat.

Descoperitorul problemei a dorit să afle și dacă alte link-uri trimise pe messenger pot fi descoperite folosind această metodă, astfel că a creat un script ce preia numere de identificare și le ajustează treptat, până ce găsește link-uri.

În setul de linkuri extrase prin script, autorul a găsit nu doar link-urile propriu zise, ci și alte informații sensibile, cum ar fi nume de utilizatori, locații, atașamente, link-uri secrete și nu numai. În mod bizar, Facebook nu consideră că acest comportament al link-urilor este unul normal. Astfel, nu te împiedică nimic să faci asta toată ziua: nu poți accesa link-urile trimise de cineva anume, cum ar fi un cunoscut, dar poți să rulezi un astfel de script toată ziua, până ce găsești ceva interesant.