セキュリティ研究者によると、攻撃者はFacebookの電話検索機能を悪用して、有効な電話番号とその所有者の名前を見つけることができるという。
独立系セキュリティ研究者のスリヤ・プラカシュ氏は最近のブログ投稿で、フェイスブックが同社ウェブサイトのモバイル版でユーザーが実行できる電話番号検索の回数を制限していないため、この攻撃が可能になっていると述べた。
Facebookでは、ユーザーが自分のアカウントに電話番号を関連付けることができます。実際、新しいFacebookアカウントを認証し、動画のアップロードやタイムラインのURLのカスタマイズなどの機能を利用するには、携帯電話番号が必要です。
ユーザーは、Facebook プロフィールページの「連絡先情報」セクションに電話番号を追加する際、この情報を一般に公開するか、友達だけに公開するか、あるいは自分だけに留めておくか (プライバシー保護の優れたオプション) を選択できます。
Facebook では、ユーザーがウェブサイト上で他の人の電話番号を国際形式で検索して見つけることもできます。
ユーザーは、「プライバシー設定」>「接続方法」>「提供したメールアドレスまたは電話番号を使用してあなたを検索できるのは誰ですか?」のオプションを通じて、この方法を使用して自分の位置を特定できるユーザーを制御できます。このオプションはデフォルトで「すべての人」に設定されています。
つまり、プロフィールページで電話番号の表示設定を「自分のみ」に設定していても、2つ目の設定を「友達」または「友達の友達」に変更しない限り、あなたの電話番号を知っている人なら誰でもFacebookであなたを見つけることができるということです。電話番号を使って誰でもあなたのプロフィールを見つけるのを防ぐオプションはありません。
ほとんどの人はこの設定のデフォルト値を変更しないため、攻撃者は特定の通信事業者など、特定の範囲の連続した電話番号のリストを作成し、Facebookの検索ボックスを使ってそれらの電話番号の所有者を特定する可能性があるとプラカシュ氏は述べた。ランダムな電話番号と名前を結びつけることはすべての広告主の夢であり、このようなリストは闇市場で高値で取引されるだろうと彼は述べた。
プラカシュ氏は、この攻撃シナリオを8月にフェイスブックのセキュリティチームに伝えたが、8月31日の最初の対応の後、10月2日にフェイスブックの担当者が対応し、電話番号を含むあらゆる手段でウェブサイト上でユーザーを見つける速度は制限されていると告げるまで、彼のメールには一切返信がなかったと主張している。
しかし、Facebookのウェブサイトのモバイル版(m.facebook.com)には検索速度の制限はないようだ、とプラカシュ氏は語った。
研究者は、米国とインドの国名プレフィックスが付いた番号を生成し、それらの番号を Facebook で検索し、Facebook プロフィールに関連付けられていることが判明した番号を所有者の名前とともに保存する、簡単な概念実証 (PoC) マクロ スクリプトを作成した。
プラカシュ氏によると、FacebookにPoCスクリプトを送信してから数日後、同社から返答がなかったため、脆弱性を公表することにしたという。プラカシュ氏は、部分的に難読化された850件の電話番号とそれに関連付けられた名前を公開したが、これはテスト中に取得したデータのごく一部に過ぎないと主張した。
「運営を始めて約1週間経ちますが、まだブロックされていません」とプラカシュ氏は月曜日にメールで述べた。「今日の朝(インド時間)にFacebookに連絡しましたが、まだ返信がありません」
フェイスブックは月曜日に送ったコメント要請には返答しなかった。
別の研究者がテスト
プラカッシュ氏の情報公開を受けて、ネットワークセキュリティベンダーAlert Logicのセキュリティ研究者タイラー・ボーランド氏は、Facebookの電話番号検索プロセスを最大10個同時に実行できる、さらに効率的なスクリプトを作成しました。ボーランド氏のスクリプトは「Facebook phone crawler」と呼ばれ、ユーザーが指定した範囲から電話番号を検索できます。
「デフォルト設定では、1秒ごとに1つの電話番号のデータを検証できました」とボーランド氏は月曜日にメールで述べた。「Facebookはいかなるレート制限も導入していないか、まだその制限に達していません。繰り返しますが、短時間に何百回もリクエストを送信しましたが、何も起こりませんでした。」
プラカシュ氏によると、ボーランドのスクリプトが10万台以上のコンピュータからなる大規模なボットネット上で実行されれば、攻撃者は数日のうちに、アカウントに関連付けられた携帯電話番号を持つほとんどのFacebookユーザーの電話番号と名前を見つけることができるという。
ウイルス対策ベンダーBitdefenderのシニア電子脅威アナリスト、ボグダン・ボテザトゥ氏は月曜日のメールで、この脆弱性が依然として存在し、それを悪用するための公開ツールが存在することは憂慮すべきことだと述べた。デフォルトのプライバシー設定を変更するユーザーはほとんどいないと同氏は述べた。
これは、安全対策が適切に実装されていない、あるいは全く存在しない場合に、優れた機能が悪用される可能性があることを示すもう一つの例だとボテザトゥ氏は述べた。「電子メールやブログのコメントとは異なり、スピアフィッシング(音声フィッシング)攻撃においては、電話でユーザーにアプローチする方がはるかに効果的です。これは主に、コンピューターユーザーは自分の電話番号が悪意のある人物の手に渡っている可能性があることに気づいていないからです。ユーザーのプロフィール情報と組み合わせることで、攻撃者はあっという間にユーザーを騙して個人情報を渡させてしまうのです。」
ボテザトゥ氏は、音声フィッシング攻撃やその他の種類の電話詐欺は一般的であり、その成功率はすでに高いと述べた。
「これらの詐欺師があなたのフルネームで話しかけ、あなたの[Facebook]プロフィールから直接取得したあなたに関する情報で彼らの主張を裏付けていると想像してみてください」とボテザトゥ氏は述べた。
