2016/06/11

Links partilhados em privado no FB Messenger ficam acessíveis publicamente


Da próxima vez que enviarem um link para alguém através do Facebook Messenger, será melhor pensarem duas vezes, pois o mesmo poderá ser acedido por qualquer pessoa - e ainda por cima o Facebook diz que não se trata de uma falha de segurança e que é mesmo para ser assim.

Um investigador de segurança estava a brincar com a API do Facebook quando decidiu experimentar pedir objectos aleatoriamente. Sem grandes surpresas, a maioria dos pedidos era recusada por não ter permissão para tal, mas quando esses objectos eram referentes a links, ficou surpreendido por ver que era possível ver o endereço sem qualquer restrição - mesmo quando se tratavam de links partilhados em privado através do Messenger.

Ora se por um lado se pode pensar que um endereço web é algo implicitamente público, o caso muda de figura quando se sabe que há muitos endereços que podem incluir dados privados e/ou potencialmente perigosos. Por exemplo, quando partilham um álbum privado no Google Photos (ou documento do Google Drive) o resultado é um link que contém o código de acesso a esse mesmo álbum, o que faz com que qualquer um desses links - entre muitos outros - que tenha sido partilhado no Facebook Messenger está automaticamente em risco.

Embora esta recolha de links só possa ser feita por quem tiver uma conta de developer do Facebook e o FB possa implementar medidas que tentem detectar potenciais abusos (por exemplo, evitando que alguém faça milhares de pedidos num curto espaço de tempo) há sempre formas de contornar essas limitações, criando múltiplas contas e distribuindo os pedidos de forma a não chamarem demasiado as atenções. Mais crítico será talvez o facto do Facebook dizer que isto é para ser mesmo assim e que não se trata de uma falha de segurança.

... Ficam avisados, é melhor tratarem todo e qualquer link que já colocaram ou vierem a colocar no Facebook Messenger como sendo um link que está visível publicamente na internet.

1 comentário: