Facebook上逻辑漏洞导致的隐私泄露——10000美金

iso60001  2042天前

22.png

近期,我发现了一个Facebook上的信息泄露漏洞,通过利用Facebook自带的功能,我就可以获取到他人的隐私信息。

根据Facebook的官方帮助页面,“People You May Know”是一个可以帮助用户在Facebook上找朋友的功能,它会给你推荐很多你可能认识的用户,推荐理由主要有以下三点:

  • 有共同的朋友,这是最常见的原因。

  • 在同一个Facebook群组,或在同一张照片中被标记。

  • 所处同一个网络(例如:学校网络或工作场所)等。

Facebook好友列表泄露

默认情况下,个人资料的中的“朋友”是公开的。但Facebook有一个隐私保护选项,可以限制陌生人看到这些信息(只有我自己能看到),来源如下

漏洞

“这个漏洞可以让攻击者通过利用受害者的电话号码来推断出受害者所隐藏的朋友列表。”

利用步骤

1.使用受害者的手机号码创建一个新的FB帐户。在输入手机号后,它将转向到一个“短信确认”页面。

33.png

2.攻击者一般情况下肯定不知道短信验证码,无所谓,此时攻击者点击“Update Contact info”按钮,输入自己的电子邮件,例如“hack@rajsek.com”

3.输入电子邮件收到的验证码,完成帐户验证。

44.png55.png

4.此时,导航到https://www.facebook.com/friends/requests/?fcref=swpsa,你就会看到系统给你推荐的朋友列表,而这里面很多都是受害者的朋友。你也可以用curl命令来抓取这个信息,具体命令如下:

curl ‘https://www.facebook.com/gettingstarted/?step=friend_requests' -H ‘authority: www.facebook.com' -H ‘referer: https://www.facebook.com/gettingstarted/' -H ‘cookie: xxxx’ — compressed

5.还有一些其他页面也会泄露受害者隐藏的朋友列表。

66.png

其他方法

经过一段时间的摸索,我还发现了一种不需要进行任何验证(手机和邮箱都不需要),就可以直接窥探到受害者朋友圈的方法,具体做法如下:

1.在Facebook首页点击注册,进入帐号注册流程,此时点击Update Contact info按钮,输入一个新的电话号码,进入短信验证环节

77.png

2.点击Not Now按钮,不进行验证

88.png

3.跳转到如下页面,可以看到Step 1Step 2,此时无视邮件验证,点击Next按钮

99.png

4.再次点击Not Now按钮

100.png

5.最后点击Next按钮就会直接跳转到Step 2Add Friends步骤。最终,你在未经任何验证的情况下看到了受害者的朋友圈

110.png

视频网址:https://youtu.be/yJxvMdzwwWM

结论

此漏洞可能使他人窥探到受害者的隐秘社交圈,而这其中只使用了Facebook的两个正常功能(推荐用户,用户注册)。

120.png

时间线

  • 2018年10月16日:首次向Facebook披露漏洞

  • 2019年3月20日:Facebook奖励10000美元

参考

  1. https://rpadovani.com/facebook-responsible-disclosure

  2. https://medium.com/@rajsek/how-i-was-able-to-get-your-private-facebook-friend-list-responsible-disclosure-f737b39bff92

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://medium.com/@rajsek/how-i-was-able-to-get-your-facebook-private-friend-list-responsible-disclosure-91984606e682 

最新评论

昵称
邮箱
提交评论