黑客们的军火库中又添置了一样新武器,这款名为 Facebook Friends Mapper 的工具能够让他们一键抓取 Facebook 隐藏好友列表。
抓取好友列表工具:Facebook Friends Mapper
Facebook 用户可以通过设置中的“隐私等级”保护关于他们的个人信息和他们所发布的内容。用户可以选择将自己的信息完全设置为私密,这样其他用户就看不到他们了,包括用户的好友们。
Facebook 上有个选项能够让用户将其好友列表的可见性设置为“只限自己”,这个设置可以让其他 Facebook 用户看不见他的好友列表,包括他自己的好友。
不幸的是,Facebook 中的一个漏洞能够泄露用户的个人档案,包括好友列表。即使用户将好友列表设为私密,任何人都还是可以看。这个漏洞存在于 Facebook 的共同好友功能,这个功能过去就存在个人隐私的争议。
original="http://image.3001.net/images/20150510/14312671083819.png!small" />
现在有人已经制作出免费的 Chrome 插件,名为“Facebook Friends Mapper”,这款插件正是利用漏洞做到“一键”查看用户隐藏的好友列表:
Facebook Friends Mapper 插件利用 Facebook 共同好友功能抓取社交图谱,并能够显示隐藏的 Facebook 好友列表。有了这个插件,名人们的好友列表就不再是秘密,只要有一个共同好友就可以得到。
“如果你想看某个 Facebook 用户的好友列表,你得至少跟他有一个共同好友,但是你跟他本人是不是好友没关系。”
这款插件能够找到那些共同好友关系并且反复利用这些关系。通过这种方法,攻击者可以查看 Facebook CEO 马克·扎克伯格的,即使是未公开的好友列表,而攻击者也无需在扎克伯格的好友名单上。
战火烧到社交媒体
大家可以想象这对个人隐私造成的影响。诸如 Facebook 这样的社交网站被用来进行信息收集,在某些军事部门看来,这些社交媒体的信息会被用作心理战行动(PSYOP)。很多政府会利用 Facebook 等社交网络收集他们感兴趣的人的信息,比如说英国政府就曾宣布成立“第 77 旅”,一个由对社交媒体非常熟悉的士兵们组成的网络部门。
而 Facebook Friends Mapper 这样的工具能够提升这类信息收集的效率。
Facebook Friends Mapper 插件的使用非常简单,从 Chrome 应用商店安装插件后,打开目标 Facebook 用户的资料页面,在“朋友”标签处就会出现一个‘Reveal Friends’选项,点击它你就可以查看他的好友列表了。
*参考来源 SecurityAffairs & THN,译/Sphinx,文章有修改,转载请注明来自 Freebuf 黑客与极客(FreeBuf.COM)