211service.com
Facebook konfidencialitāti apdraud maskēšanas uzbrukumi
Statistika ir satriecoša. Facebook ir aptuveni 750 miljoni lietotāju, no kuriem puse piesakās katru dienu. Vidējam lietotājam ir 130 draugu un viņš pavada apmēram 60 minūtes dienā, čalojoties tīklā.
Nav noslēpums, ka Facebook ir bijis diezgan daudz strīdu par privātumu, un tāpēc tīkls septiņu īso pastāvēšanas gadu laikā ir bijis spiests daudzas reizes mainīt savus privātuma iestatījumus.
Šis strīds turpināsies. Šodien Shah Mahmood un Yvo Desmedt no Londonas Universitātes koledžas saka, ka ir atraduši nepilnību Facebook privātuma iestatījumos, kas ļauj nepārtraukti vajāt Facebook lietotājus tādā veidā, ko ir grūti pamanīt un gandrīz neiespējami apturēt.
Trūkums rodas tāpēc, ka Facebook ļauj lietotājiem deaktivizēt un atkārtoti aktivizēt savus kontus neierobežoti un neierobežoti. Kamēr konts ir deaktivizēts, ar šo kontu saistītos konfidencialitātes iestatījumus nevar mainīt.
Tātad, ja jūs draugojat ar kādu, lai viņš varētu redzēt jūsu saturu, un viņš pēc tam deaktivizē savu kontu, jūs nevarat mainīt ar šo kontu saistītos konfidencialitātes iestatījumus, kamēr tas nav atkārtoti aktivizēts (ja vien visiem draugiem nepiemērojat globālas izmaiņas).
Mahmuda un Desmedta uzbrukums ir saistīts ar lūgumu cilvēkiem izveidot draugus un pēc tam deaktivizēt viņu kontu. Pēc tam viņi uz īsu laiku atkārtoti aktivizējas, pārbauda savu draugu saturu un nekavējoties atkal deaktivizē kontu.
Koncepcija šeit ir ļoti līdzīga maskēšanai Star Trek, kur Badass Blink vai Džems Hadars ir jāatmasko (būt redzamam), pat ja tikai uz brīdi, lai atklātu uguni, viņi saka.
Vienīgais veids, kā to apturēt, ir būt tiešsaistē tajā pašā laikā, kad snooper atkārtoti aktivizējas, un tajā laikā mainīt konfidencialitātes iestatījumus vai mainīt visu savu draugu vai draugu grupas, kurā atrodas uzbrucējs, konfidencialitātes iestatījumus.
Mahmūds un Desmedts pārbaudīja šāda veida maskēšanas uzbrukumus 600 dienu periodā, izmantojot Facebook kontu, kas izveidots ar pseidonīmu. Pirmo 285 dienu laikā viņi izsūtīja 595 draudzības pieprasījumus, no kuriem 370 tika pieņemti. Viņi arī saņēma 3969 draudzības uzaicinājumus, kurus viņi pieņēma, kopumā dodot viņiem vairāk nekā 4000 draugu.
Pēc tam viņi pārgāja maskēšanas režīmā, deaktivizējot savu kontu, un regulāri pārbauda savus draugus, atkārtoti aktivizējot tikai 10 minūšu periodus, kas ir pietiekami ilgs laiks, lai pārmeklētu simtiem profilu un izsekotu visām darbībām . Viņi saka, ka neviens no mūsu draugiem tehniski nebūtu varējis mūs pārtraukt šajā posmā.
Visbeidzot viņi atkārtoti aktivizēja kontu un atstāja to dīkstāvē uz 60 dienām, lai redzētu, cik daudz cilvēku viņiem ir atcēluši draudzību. Šajā laikā nedraudzējās 239 cilvēki, kas ir nedaudz vairāk par 5 procentiem no kopējā skaita.
Ir vairāki iemesli domāt, ka tas ir potenciāli nopietns uzbrukuma veids. Apslēptus uzbrukumus ir grūti pamanīt un vēl grūtāk apturēt. Turklāt apņēmīgs uzbrucējs var uzraudzīt ne tikai personas, bet arī saiknes starp tām, gūstot vērtīgu ieskatu attiecībās starp upuriem. Facebook nesen pievienoja funkciju “pārlūkot draudzību”, kas atklāj tādu informāciju kā datums, kad viņi kļuva par Facebook draugiem, notikumi, kurus viņi abi ir apmeklējuši, viņu kopīgie draugi un tā tālāk.
Ja uzbrucējs ir upura draugs, ļoti iespējams, ka uzbrucējam ir neierobežota piekļuve upura privātajai informācijai slēptā veidā, saka Mahmūds un Desmedts. ,
To sakot, Mahmuds un Desmedts saka, ka problēmu vajadzētu būt salīdzinoši viegli labojamai. Piemēram, Facebook varētu jums paziņot, kad draugs ir deaktivizējis, un sekot līdzi tiem cilvēkiem, kuri regulāri deaktivizē un atkārtoti aktivizē. Uzņēmums varētu arī dot iespēju mainīt konfidencialitātes iestatījumus, kas saistīti ar deaktivizētiem draugiem.
Vienīgais jautājums ir, cik ātri Facebook reaģēs uz šiem draudiem un, to darot, papildinās pieaugošo izmaiņu katalogu, kas ir spiests veikt tās privātuma funkcijās.
Atsauce: arxiv.org/abs/1203.4043 : jūsu Facebook deaktivizētais draugs vai maskēts spiegs
Atjauninājums: 2012. gada 23. marts
Facebook ar PR aģentūras starpniecību nosūta šādu paziņojumu:
Šīs nedēļas sākumā drošības pētnieku komanda aprakstīja teorētisku trūkumu mūsu lietotāja saskarnē; lietotāji iepriekš nav varējuši atvienot no deaktivizētiem kontiem. Mēs ātri strādājām, lai atrisinātu šo problēmu, un 48 stundu laikā pēc šo ziņojumu saņemšanas varējām izvietot izmaiņas mūsu lietotāja saskarnē.
Lai gan mēs novērtējam visu darbu, kas veikts, lai palīdzētu nodrošināt Facebook drošību, mums ir vairākas pamatotas bažas par šo Londonas Universitātes koledžas pētījumu. Mēs bijām vīlušies, ka tas mums netika atklāts mūsu atbildīgās izpaušanas politikā un tika izdarīts, pārkāpjot mūsu noteikumus. Mēs mudinām visas drošības kopienas izmantot mūsu White Hat programmu, kas nodrošina pētnieku rīkus un kļūdu ziņošanas kanālus. Turklāt, kā vienmēr, mēs mudinām cilvēkus sazināties tikai ar cilvēkiem, kurus viņi patiešām pazīst, un ziņot par jebkuru aizdomīgu uzvedību, ko viņi novēro vietnē.