Privacy e Facebook: le foto non sono al sicuro

di

joyoftech
Un anno fa circa era trapelata la possibilità di accedere senza alcun tipo di permesso alle foto private degli utenti di Facebook. Per un marobolano degli sviluppatori, era sufficiente ottenere l’user id di qualcuno per vedere le sue foto inserendo manualmente un indirizzo come questo:

www.facebook.com/photo.php?pid=1&view=all&subj=[uid]&id=[uid]

Sebbene la sicurezza sia migliorata, purtroppo una falla c’è ancora (e mette di nuovo in pericolo le foto di Paris Hilton e Mark Zuckerberg come l’anno scorso :-P).

Purtroppo gli ingegneri del software alle spalle del grande social network hanno di nuovo buttato su il lavoro. Infatti se voleste visualizzare questa mia stupenda foto…

http://www.facebook.com/home.php#/photo.php?pid=1891480&id=691200517

…Usando questo link, dovreste essere loggati su Facebook e essere miei amici. Ma, con buona pace della mia privacy, la foto in questione è incapsulata nella pagina con un altro indirizzo:

http://photos-a.ak.fbcdn.net/photos-ak-snc1/v2233/161/20/691200517/n691200517_1891480_5139.jpg

Mon dieux, che imbarazzo! Questo link è pubblico. Peggio: il suo link non è random, e con le cose in questo stato, è permanente ed univoco. Si tratta di un link al server fotografico, probabilmente potentissimo, di Facebook, che immagazzina più di 10 miliardi di immagini. Stando all’analista Joseph Bonneau esso si interpreta in questo modo:

  • Prendete le ultime tre cifre.
  • La prima è l’user id.
  • La seconda è il photo id, il numero identificativo della foto.
  • La terza è una specie di PIN, un codice di 4 cifre casuale come quello delle carte di credito.

Aumentare di un numero il photo id quasi sempre vi porta alla foto successiva dell’utente!
Da questo deriva che l’unica barriera tra le vostre foto private e qualsiasi browser è un numero di 4 cifre, la cui sicurezza può essere violata da qualsiasi attacco brute force in 45 minuti, anche perchè i server fotografici di Facebook non hanno nessun meccanismo che ne blocchi l’accesso dopo un tot di tentativi! Inoltre, siccome il PIN deriva dal timestamp dell’upload, è sempre un numero incrementale, cosa che facilita ancora di più il lavoro di un hacker, che può indovinare tutto un album con una dozzina di tentativi per tutte le foto dopo la prima.
 
Il “buco”, insomma, è meno drammatico di quello dell’anno scorso, ma sempre preoccupante per la negligenza di chi ha pensato l’intero sistema. In ogni caso, basta aumentare il numero di caratteri del PIN per risolvere il problema, e speriamo che il social network ci pensi in fretta. Non si tratta di buona pubblicità, questo è poco ma sicuro.
 
Immagine da joyoftech.com

I commenti sono chiusi.

© Copyright Trackback.it 2023 | Gfg Powerweb Srl - via della Batteria Nomentana, 26 - Roma | All rights reserved. Loghi, immagini e video contenuti in Trackback.it sono di proprietà dei rispettivi proprietari.

Privacy PolicyDisclaimer
Impostazioni privacy