facebookに偽装メッセージが送信できる脆弱性アリ
Facebookのメッセージは送信者を自由に偽装して送れることが判明(頭ん中)「みたいです」というか、複数人で試した結果、「できちゃいました」というオチ。
Kampa! の人である佐田さんが見つけて教えてくれたんだけど、
Facebook のメッセージは割と簡単に他人になりすまして送れるみたいです。
セキュリティの脆弱性やプライバシーに対する脇の甘さが次々と出てきますね…。
facebookは今年の6月に登録メールアドレスを「ユーザーネーム@facebook.com」が標準の連絡先アドレスとなるように強制的に変更しています(変更は可能)。
» facebook、通知なくユーザーの登録アドレスを自ドメインに変更
登録アドレスが変更されていることに気づいてなかったり、気づいていても @facebook.com のままの場合、なりすましメールを送られるリスクがありますね。
スクレイピングなんてするのもめんどくさいという向きに売る輩も出てきそう。
もし自分のメールアドレスで送信されても、なりすまされてるので自分のアカウントの送信メッセージにログが残らない=気付けないというのもマズいですねぇ。
頭ん中さんで提案されている、とりあえずの対策は以下。
バグとか以前に明らかに脆弱性なので修正してっ >facebookの中の人
あと今日は田口さんからも↓こんなのが。なんだかなぁ。
» 友達じゃなくてもメールアドレスからFacebookのプロフィールが特定できてしまう件(IDEA*IDEA)
» facebook、通知なくユーザーの登録アドレスを自ドメインに変更
登録アドレスが変更されていることに気づいてなかったり、気づいていても @facebook.com のままの場合、なりすましメールを送られるリスクがありますね。
よくあるメールアドレスの文字列を手当たり次第に自動生成するツールとか使わなくとも、facebookのアカウントページを公開設定してる人なんてごまんといるのでページをスクレイピングすれば送信リストがたんまりと作れちゃいますねぇ。
- Facebook に連絡先として登録しているアドレスなら、公開の有無にかかわらずその人として表示される。
Facebook の設定画面からメールアドレスを削除しても、同じやりとりのスレッドに引き続き表示される。ただしアイコンはメールのシンボルになり、送信者名はメールアドレスになる。
- 上記のようにしても、iPhone アプリなどから見た場合は送信者名がメールアドレスではなく空白になる。
- 送られたメッセージは送信者その人からのものとして扱われるので、両者が友達などである場合は「その他」ではなく通常のメッセージボックスに入る。
- Gmail アドレスを送信元とした場合はメールの印の横に警告アイコンが出て
そこにマウスカーソルをあわせると "送信者「*****@gmail.com」を確認できません" と表示される。
また、メールアドレスを連絡先として自発的に登録したことがないユーザーであってもログインに使うメールアドレスなら同じことができるようでした。
スクレイピングなんてするのもめんどくさいという向きに売る輩も出てきそう。
もし自分のメールアドレスで送信されても、なりすまされてるので自分のアカウントの送信メッセージにログが残らない=気付けないというのもマズいですねぇ。
頭ん中さんで提案されている、とりあえずの対策は以下。
というかこれ、悪用されるって…。
- Facebook の登録用メールアドレスは、誰にも知られていないものを使うか、それ用に新規に発行して使う
- Facebook には追加のメールアドレスを預けない
- 既に登録してしまっている場合は、削除や変更を行う(本人と関連づけられたスレッドには出るけど、アイコンは別のものになるので危険度が少しだけ減る)
バグとか以前に明らかに脆弱性なので修正してっ >facebookの中の人
あと今日は田口さんからも↓こんなのが。なんだかなぁ。
» 友達じゃなくてもメールアドレスからFacebookのプロフィールが特定できてしまう件(IDEA*IDEA)
