Facebook y la privacidad por defecto:

El Teléfono.

por Enrique Andrade González - NeTTinG - https://netting.wordpress.com/

Edición: PDF para asignatura Lexislación e Seguridade Informática FIC UDC.

En esta segunda parte - tras dedicarle una entrada a las opciones de privacidad por defecto en

Facebook relativas al correo electrónico -, voy a explicar como c

Facebook

número de teléfono de cualquier cuenta es una información valiosa que puede ser útil en

múltiples circunstancias. Hacer esto puede parecer sencillo, ya que en Facebook se pueden

hacer búsquedas por números de teléfono, directamente desde la cuenta, pero como

veremos, gracias a la existencia de Facebook Messenger, la exposición de los números de

teléfono es mayor de la que los usuarios piensan.

Para localizar la cuenta asociada a un número de teléfono - si el usuario ha dejado que lo

encuentren los amigos, los amigos de los amigos o toda la red - basta con poner el número de

teléfono en el buscador y Facebook devolverá información de la cuenta. Lo curioso es que

cuando investigaba todo esto, Facebook estaba a punto de lanzar su conocida app Facebook

Messenger. Una app para dispositivos móviles de obligada instalación para todos aquellos que

quieran poder chatear a través de la red social desde sus dispositivos móviles. Este servicio

también permite realizar llamadas de voz sobre VoIP y, personalmente, creo que fue en este

momento donde se tomaron algunas decisiones críticas con respecto a la privacidad por

defecto de los números de teléfono.

Con la instalación de app Facebook Messeger en tu dispositivo estas pareando tu cuenta de

usuario de Facebook con tu número de teléfono, de igual forma que si hubieras configurado tu

número de teléfono en tu cuenta para usarlo como segundo factor de autenticación o

simplemente como información. La diferencia radica en que, si tienes instalada Facebook

Messeger puedes ser buscado a través de tu número de teléfono, sin importar la relación

establecida en la red social. Es d

varios casos límites en que el comportamiento puede ser distinto, por ejemplo en los caso en

los que hayas instalado la app y luego que la hayas borrado, etcétera...

Entiendo, y es una interpretación personal, que una vez que Facebook Messenger

Facebook. A p

Análisis de Facebook para sacar perfiles de usuarios buscando por teléfono: de cuentas de Facebook iOS o Android, Facebook se puede obtener fácilmente la URL de la consulta que se hace cuando se solicita la búsqueda de un número de teléfono, y que será la que habrá que automatizar para poder sacar toda la información:

https://www.facebook.com/search/results/?q=600000000

squeda autoincrementados para lograr recorrer todo el abanico - y por

supuesto - ver si es posible saltar algunas de las medidas de protección que pueda tener

Facebook para evitar las búsquedas masivas.

Tras probar diferentes iniciativas pensando en hacer un script con netcat, hacer un programa

en Java que incluyera una webview para automatizar las búsquedas, utilizar las APIs oficiales

de Facebook, o incluso hacer un programa server-side en PHP con curl para hacer búsquedas

en los resultados, como me recomendó mi amigo Carlos García. En todas las pruebas me topé

con la necesidad del mantenimiento de la sesión con las cookies, así que al final armé algo

bastante peculiar, pero que funciona razonablemente bien.

Firefox co

Barajé varias opciones, como Selenium Firefox a

medida y al final la solución que más me gustó fue utilizar la extensión Down Them All.

Esta herramienta es un administrador y acelerador de descargas que se integra en Firefox partes van desde Fichero_01.rar hasta Fichero_99.rar Down Them All https://www.facebook.com/search/results/?q= Para poder descargar ficheros por lotes tenemos que utilizar el siguiente descriptor: [600000000:699999999] Concatenamos ambas cadenas y obtenemos: https://www.facebook.com/search/results/?q=[600000000:699999999]

URLs que le hemos indicado, es decir: https://www.facebook.com/search/results/?q=600000000 https://www.facebook.com/search/results/?q=600000001 https://www.facebook.com/search/results/?q=600000002 ... https://www.facebook.com/search/results/?q=699999999 Y descargando en formato HTML una a una todas las respuestas obtenidas en el directorio de

cambiarlas. Nada complicado. Al revisar los ficheros HTML

funciona correctamente.

Acotando el rango de teléfonos de España para el ataque: caso me voy a limitar solo a España 600.000.000 hasta el 699.999.999 pero resulta que no, que se ha abierto un nuevo rango, desde el 71 hasta el 74. Este nuevo rango no lo voy a tener en cuenta para este ejemplo, pero habr operativos. registros de numeración definidos por la CNMC (Comision Nacional de los Mercados y la Competencia) esta web podemos muy valiosa 31/07/15 con el que podremos realizar Si abrimos el fichero (os recomiendo miraros antes el fichero Leeme.txt Facebook para localizar las cuentas Facebook “S d f r” acabamos de descartar un total de 8.300.000 83 rangos del tipo: RRR-YXX-XXX. a la que fueron asignados i siendo de esa operadora.

Creación de FacePhone

Para realizar esta extracción de forma masiva he desarrollado en Java NetBeans FacePhone -o no- a partir del fichero moviles.txt, esta herramienta nos de mucha utilidad cuando elijamos los rangos que queremos utilizar para realizar ataques de fuerza bruta, para realizar la extracción de los datos de los resultados y para poder exportar la información obtenida.

“ f ” y haber descargado el fichero moviles.txt mencionado anteriormente. Tan solo debemos de indicar donde se aloja el fichero moviles.txt y pulsar “ r f r ” La herramienta hace el trabajo Java es multiplataforma, por lo que podremos utilizar la herramienta tanto en sistemas Microsoft Windows como en GNU/LiNUX Java instalada. Una ve Down Them All. Tan solo tenemos que configurar la herramienta FacePhone de la siguiente manera.

-

-

https://www.facebook.com/search/results/?q=[666555000:666555110]

fb a fb_000

-

-

-

a Extraer Datos:

Pestaña Extraer Datos:

as encontradas.

Una vez que el proceso haya finalizado, como ya se ha dicho, FacePhone

Cargar Datos para poder visualizarlos en la tabla de resultados.

MySQL Base de Datos n Salvar en BD.

:

usuarios.

:

Desde aquí podemos obtener del servidor MySQL

en una sesión anterior.

Al final obtendremos un listado con todos los datos que hemos ido reclutando. Ni que decir tiene que una vez que generar un script que creara un HTML vive y su correspondiente foto de perfil.

Conclusiones: Visto que salían muchos números de teléfono de muchas personas que probablemente no sabían que al instalar Facebook Messenger habían compartido su número con todo el mundo, decidí comunicárselo a Facebook antes de publicar el artículo. Ellos respondieron que conocían esta característica y que la consideraban correcta por: - Hay medidas de protección para evitar el abuso. - Consideran la extracción masiva descartada. - El ataque de Fuerza Bruta no es de aplicación práctica real. - Toda la información es de carácter público. - El usuario siempre puede configurar que su teléfono no pueda encontrarse en las búsquedas. Lo cierto es que, aunque es verdad que hacer un ataque de Fuerza Bruta para sacar una gran cantidad de números de teléfono en corto espacio de tiempo es difícil debido a las protecciones de baneo, captchas y demás que pone Facebook, sí que es posible sacar grandes rangos de datos con algo de tiempo. Utilizando un sistema de máquinas en la nube distribuidas haciendo lo mismo en paralelo o siendo un grupo de trabajo de varias personas, tal vez pueda salir una buena base de datos con utilidad para atacantes. Además, en caso de querer hacer un ataque al personal una empresa, utilizando todos los números de teléfono de la empresa se pueden hacer batidas para sacar los perfiles de todos los empleados y, aunque hayan configurado la opción de no aparecer en las búsquedas - que no es la opción por defecto - siempre se podría complementar con el ataque publicado ayer por Chema Alonso intentando hacer login con el número de teléfono de un rango. En definitiva, si le diste a Facebook tu número de teléfono, es probable que cualquier te encuentre por él y lo pueda asociar a tu perfil y el resto de tus datos. Saludos,

Autor: NeTTinG - Enrique Andrade Estudiante de Ingeniería Informática (Fic - UDC). Perito Informático Forense Judicial. Blog: https://netting.wordpress.com/