Facebooks integritet äventyras av cloaking-attacker

Statistiken är häpnadsväckande. Facebook har cirka 750 miljoner användare, varav hälften loggar in varje dag. Den genomsnittliga användaren har 130 vänner och ägnar cirka 60 minuter om dagen åt att mixtra på nätverket.





Det är ingen hemlighet att Facebook har haft sin beskärda del av kontroverser om integritet och följaktligen har nätverket tvingats ändra sin integritetsinställning många gånger under sina sju korta år av existens.

Den kontroversen kommer att fortsätta. Idag säger Shah Mahmood och Yvo Desmedt vid University College London att de har hittat ett kryphål i Facebooks integritetsinställningar som tillåter pågående stalking av Facebook-användare på ett sätt som är svårt att upptäcka och nästan omöjligt att stoppa.

Felet uppstår eftersom Facebook tillåter användare att inaktivera och återaktivera sina konton på ett obegränsat och obegränsat sätt. Medan ett konto är inaktiverat kan inte sekretessinställningarna som är kopplade till det kontot ändras.



Så om du vän med någon så att de kan se ditt innehåll och de sedan inaktiverar sitt konto, kan du inte ändra sekretessinställningarna som är kopplade till det kontot förrän det återaktiveras (såvida du inte tillämpar en global ändring på alla dina vänner).

Mahmood och Desmedts attack innebär att man ber folk att bli vän med dem och sedan avaktivera deras konto. De återaktiverar sedan under korta perioder, kontrollerar sina vänners innehåll och inaktiverar omedelbart kontot igen.

Konceptet här är väldigt likt det med cloaking i Star Trek där Badass Blink eller Jem’Hadar måste avslöja (vara synliga), om än bara för ett ögonblick, för att öppna eld, säger de.



Det enda sättet att stoppa detta är att vara online samtidigt som snokaren återaktiverar och att ändra sekretessinställningarna vid den tidpunkten eller att ändra sekretessinställningarna för alla dina vänner eller den grupp av vänner som angriparen befinner sig i.

Mahmood och Desmedt testade denna typ av cloaking-attack under en 600-dagarsperiod med ett Facebook-konto som skapats under en pseudonym. Under de första 285 dagarna skickade de ut 595 vänförfrågningar varav 370 accepterades. De fick också 3969 vänförfrågningar som de accepterade, vilket gav dem totalt över 4000 vänner.

De gick sedan in i cloaking-läge genom att inaktivera sitt konto och kontrollera sina vänner regelbundet genom att återaktivera under endast 10 minuters perioder, vilket är tillräckligt länge för att genomsöka hundratals profiler och för att hålla reda på all aktivitet. Ingen av våra vänner kunde tekniskt sett ha oväntat oss under den här fasen, säger de.



Till slut återaktiverade de kontot och lät det vara inaktivt i 60 dagar för att se hur många människor som inte blev vänner. Under den tiden var 239 personer oväntade, drygt 5 procent av det totala antalet.

Det finns flera skäl att tro att detta är en potentiellt allvarlig sorts attack. Skyddade attacker är svåra att upptäcka och ännu svårare att stoppa. Dessutom kan en målmedveten angripare övervaka inte bara individer utan kopplingarna dem emellan, och få värdefull insikt i förhållandet mellan offren. Facebook lade nyligen till funktionen 'bläddra i vänskap' som avslöjar information som datumet de blev Facebook-vänner, de evenemang de båda har deltagit i, deras gemensamma vänner och så vidare.

När väl angriparen är en vän till offret, är det mycket troligt att angriparen har obestämd tillgång till offrens privata information på ett täckt sätt, säger Mahmood och Desmedt. ,



Med allt detta sagt, säger Mahmood och Desmedt att problemet borde vara relativt enkelt att åtgärda. Facebook kan till exempel berätta för dig när en vän har inaktiverat och hålla reda på de personer som av- och återaktiverar regelbundet. Företaget skulle också kunna göra det möjligt att ändra integritetsinställningarna för inaktiverade vänner.

Frågan är bara hur snabbt Facebook kommer att reagera på detta hot och på så sätt lägga till den växande katalogen av ändringar som det har tvingats göra i sina sekretessfunktioner.

Ref: arxiv.org/abs/1203.4043 : Din Facebook-inaktiverade vän eller en klädd spion

Uppdatering: 23 mars 2012

Facebook skickar följande uttalande via en PR-byrå:

Tidigare i veckan beskrev ett team av säkerhetsforskare ett teoretiskt fel i vårt användargränssnitt; användare har tidigare inte kunnat avaktivera deaktiverade konton. Vi arbetade snabbt för att lösa det här problemet och kunde implementera en ändring av vårt användargränssnitt inom 48 timmar efter att vi mottagit dessa rapporter.

Även om vi uppskattar allt arbete som gjorts för att hålla Facebook säkert, har vi flera legitima farhågor om denna forskning från University College London. Vi var besvikna över att detta inte avslöjades för oss genom vår policy för ansvarsfullt avslöjande och gjordes i strid med våra villkor. Vi uppmuntrar hela säkerhetsgemenskapen att använda vårt White Hat-program, som tillhandahåller forskarverktyg och felrapporteringskanaler. Dessutom, som alltid, uppmuntrar vi människor att bara ta kontakt med personer de faktiskt känner och rapportera misstänkt beteende de observerar på webbplatsen.

Dölj