Facebook y la privacidad por defecto: El Teléfono.
|
|
|
- Carmelo Rey Venegas
- hace 8 años
- Vistas:
Transcripción
1 Facebook y la privacidad por defecto: El Teléfono. por Enrique Andrade González - NeTTinG - Edición: PDF para asignatura Lexislación e Seguridade Informática FIC UDC.
2 En esta segunda parte - tras dedicarle una entrada a las opciones de privacidad por defecto en Facebook relativas al correo electrónico -, voy a explicar como c Facebook número de teléfono de cualquier cuenta es una información valiosa que puede ser útil en múltiples circunstancias. Hacer esto puede parecer sencillo, ya que en Facebook se pueden hacer búsquedas por números de teléfono, directamente desde la cuenta, pero como veremos, gracias a la existencia de Facebook Messenger, la exposición de los números de teléfono es mayor de la que los usuarios piensan. Para localizar la cuenta asociada a un número de teléfono - si el usuario ha dejado que lo encuentren los amigos, los amigos de los amigos o toda la red - basta con poner el número de teléfono en el buscador y Facebook devolverá información de la cuenta. Lo curioso es que cuando investigaba todo esto, Facebook estaba a punto de lanzar su conocida app Facebook Messenger. Una app para dispositivos móviles de obligada instalación para todos aquellos que quieran poder chatear a través de la red social desde sus dispositivos móviles. Este servicio también permite realizar llamadas de voz sobre VoIP y, personalmente, creo que fue en este momento donde se tomaron algunas decisiones críticas con respecto a la privacidad por defecto de los números de teléfono.
3 Con la instalación de app Facebook Messeger en tu dispositivo estas pareando tu cuenta de usuario de Facebook con tu número de teléfono, de igual forma que si hubieras configurado tu número de teléfono en tu cuenta para usarlo como segundo factor de autenticación o simplemente como información. La diferencia radica en que, si tienes instalada Facebook Messeger puedes ser buscado a través de tu número de teléfono, sin importar la relación establecida en la red social. Es d varios casos límites en que el comportamiento puede ser distinto, por ejemplo en los caso en los que hayas instalado la app y luego que la hayas borrado, etcétera... Entiendo, y es una interpretación personal, que una vez que Facebook Messenger Facebook. A p Análisis de Facebook para sacar perfiles de usuarios buscando por teléfono: de cuentas de Facebook ios o Android, Facebook se puede obtener fácilmente la URL de la consulta que se hace cuando se solicita la búsqueda de un número de teléfono, y que será la que habrá que automatizar para poder sacar toda la información: squeda autoincrementados para lograr recorrer todo el abanico - y por supuesto - ver si es posible saltar algunas de las medidas de protección que pueda tener Facebook para evitar las búsquedas masivas. Tras probar diferentes iniciativas pensando en hacer un script con netcat, hacer un programa en Java que incluyera una webview para automatizar las búsquedas, utilizar las APIs oficiales de Facebook, o incluso hacer un programa server-side en PHP con curl para hacer búsquedas en los resultados, como me recomendó mi amigo Carlos García. En todas las pruebas me topé con la necesidad del mantenimiento de la sesión con las cookies, así que al final armé algo bastante peculiar, pero que funciona razonablemente bien.
4 Firefox co Barajé varias opciones, como Selenium Firefox a medida y al final la solución que más me gustó fue utilizar la extensión Down Them All. Esta herramienta es un administrador y acelerador de descargas que se integra en Firefox partes van desde Fichero_01.rar hasta Fichero_99.rar Down Them All Para poder descargar ficheros por lotes tenemos que utilizar el siguiente descriptor: [ : ] Concatenamos ambas cadenas y obtenemos:
5 URLs que le hemos indicado, es decir: Y descargando en formato HTML una a una todas las respuestas obtenidas en el directorio de cambiarlas. Nada complicado. Al revisar los ficheros HTML funciona correctamente.
6 Acotando el rango de teléfonos de España para el ataque: caso me voy a limitar solo a España hasta el pero resulta que no, que se ha abierto un nuevo rango, desde el 71 hasta el 74. Este nuevo rango no lo voy a tener en cuenta para este ejemplo, pero habr operativos. registros de numeración definidos por la CNMC (Comision Nacional de los Mercados y la Competencia) esta web podemos muy valiosa 31/07/15 con el que podremos realizar Si abrimos el fichero Facebook total de (os recomiendo miraros antes el fichero Leeme.txt Facebook para localizar las cuentas S d f r acabamos de descartar un 83 rangos del tipo: RRR-YXX-XXX. a la que fueron asignados i siendo de esa operadora. Creación de FacePhone Para realizar esta extracción de forma masiva he desarrollado en Java NetBeans FacePhone -o no- a partir del fichero moviles.txt, esta herramienta nos de mucha utilidad cuando elijamos los rangos que queremos utilizar para realizar ataques de fuerza bruta, para realizar la extracción de los datos de los resultados y para poder exportar la información obtenida.
7 f y haber descargado el fichero moviles.txt mencionado anteriormente. Tan solo debemos de indicar donde se aloja el fichero moviles.txt y pulsar r f r La herramienta hace el trabajo Java es multiplataforma, por lo que podremos utilizar la herramienta tanto en sistemas Microsoft Windows como en GNU/LiNUX Java instalada. Una ve Down Them All. Tan solo tenemos que configurar la herramienta FacePhone de la siguiente manera.
8 - - fb a fb_ a Extraer Datos:
![q=[666555000:666555110]](/docs-images/46/12141999/images/page_8.jpg "fb a fb_000 - - - a")
9 Pestaña Extraer Datos: as encontradas. Una vez que el proceso haya finalizado, como ya se ha dicho, FacePhone Cargar Datos para poder visualizarlos en la tabla de resultados.
10 MySQL Base de Datos n Salvar en BD. : usuarios.
11 : Desde aquí podemos obtener del servidor MySQL en una sesión anterior.
12 Al final obtendremos un listado con todos los datos que hemos ido reclutando. Ni que decir tiene que una vez que generar un script que creara un HTML vive y su correspondiente foto de perfil. Conclusiones: Visto que salían muchos números de teléfono de muchas personas que probablemente no sabían que al instalar Facebook Messenger habían compartido su número con todo el mundo, decidí comunicárselo a Facebook antes de publicar el artículo. Ellos respondieron que conocían esta característica y que la consideraban correcta por: - Hay medidas de protección para evitar el abuso. - Consideran la extracción masiva descartada. - El ataque de Fuerza Bruta no es de aplicación práctica real. - Toda la información es de carácter público. - El usuario siempre puede configurar que su teléfono no pueda encontrarse en las búsquedas. Lo cierto es que, aunque es verdad que hacer un ataque de Fuerza Bruta para sacar una gran cantidad de números de teléfono en corto espacio de tiempo es difícil debido a las protecciones de baneo, captchas y demás que pone Facebook, sí que es posible sacar grandes rangos de datos con algo de tiempo. Utilizando un sistema de máquinas en la nube distribuidas haciendo lo mismo en paralelo o siendo un grupo de trabajo de varias personas, tal vez pueda salir una buena base de datos con utilidad para atacantes. Además, en caso de querer hacer un ataque al personal una empresa, utilizando todos los números de teléfono de la empresa se pueden hacer batidas para sacar los perfiles de todos los empleados y, aunque hayan configurado la opción de no aparecer en las búsquedas - que no es la opción por defecto - siempre se podría complementar con el ataque publicado ayer por Chema Alonso intentando hacer login con el número de teléfono de un rango. En definitiva, si le diste a Facebook tu número de teléfono, es probable que cualquier te encuentre por él y lo pueda asociar a tu perfil y el resto de tus datos. Saludos, Autor: NeTTinG - Enrique Andrade Estudiante de Ingeniería Informática (Fic - UDC). Perito Informático Forense Judicial. Blog:
