Facebook y la privacidad por defecto: El Teléfono.

Página creada Pablo Escobar
 
SEGUIR LEYENDO
Facebook y la privacidad por defecto: El Teléfono.
Facebook y la privacidad por defecto:
                            El Teléfono.

       por Enrique Andrade González - NeTTinG - https://netting.wordpress.com/
   Edición: PDF para asignatura Lexislación e Seguridade Informática FIC UDC.
Facebook y la privacidad por defecto: El Teléfono.
En esta segunda parte - tras dedicarle una entrada a las opciones de privacidad por defecto en
Facebook relativas al correo electrónico -, voy a explicar como c
                                          Facebook

número de teléfono de cualquier cuenta es una información valiosa que puede ser útil en
múltiples circunstancias. Hacer esto puede parecer sencillo, ya que en Facebook se pueden
hacer búsquedas por números de teléfono, directamente desde la cuenta, pero como
veremos, gracias a la existencia de Facebook Messenger, la exposición de los números de
teléfono es mayor de la que los usuarios piensan.

Para localizar la cuenta asociada a un número de teléfono - si el usuario ha dejado que lo
encuentren los amigos, los amigos de los amigos o toda la red - basta con poner el número de
teléfono en el buscador y Facebook devolverá información de la cuenta. Lo curioso es que
cuando investigaba todo esto, Facebook estaba a punto de lanzar su conocida app Facebook
Messenger. Una app para dispositivos móviles de obligada instalación para todos aquellos que
quieran poder chatear a través de la red social desde sus dispositivos móviles. Este servicio
también permite realizar llamadas de voz sobre VoIP y, personalmente, creo que fue en este
momento donde se tomaron algunas decisiones críticas con respecto a la privacidad por
defecto de los números de teléfono.
Facebook y la privacidad por defecto: El Teléfono.
Con la instalación de app Facebook Messeger en tu dispositivo estas pareando tu cuenta de
usuario de Facebook con tu número de teléfono, de igual forma que si hubieras configurado tu
número de teléfono en tu cuenta para usarlo como segundo factor de autenticación o
simplemente como información. La diferencia radica en que, si tienes instalada Facebook
Messeger puedes ser buscado a través de tu número de teléfono, sin importar la relación
establecida en la red social. Es d

varios casos límites en que el comportamiento puede ser distinto, por ejemplo en los caso en
los que hayas instalado la app y luego que la hayas borrado, etcétera...

Entiendo, y es una interpretación personal, que una vez que Facebook Messenger

Facebook. A p

Análisis de Facebook para sacar perfiles de usuarios buscando por teléfono:

de cuentas de Facebook

                                                          iOS o Android,

                                                                                 Facebook se
puede obtener fácilmente la URL de la consulta que se hace cuando se solicita la búsqueda de
un número de teléfono, y que será la que habrá que automatizar para poder sacar toda la
información:

https://www.facebook.com/search/results/?q=600000000

                  squeda autoincrementados para lograr recorrer todo el abanico - y por
supuesto - ver si es posible saltar algunas de las medidas de protección que pueda tener
Facebook para evitar las búsquedas masivas.

Tras probar diferentes iniciativas pensando en hacer un script con netcat, hacer un programa
en Java que incluyera una webview para automatizar las búsquedas, utilizar las APIs oficiales
de Facebook, o incluso hacer un programa server-side en PHP con curl para hacer búsquedas
en los resultados, como me recomendó mi amigo Carlos García. En todas las pruebas me topé
con la necesidad del mantenimiento de la sesión con las cookies, así que al final armé algo
bastante peculiar, pero que funciona razonablemente bien.
Facebook y la privacidad por defecto: El Teléfono.
Firefox co

Barajé varias opciones, como Selenium                                                 Firefox a
medida y al final la solución que más me gustó fue utilizar la extensión Down Them All.

Esta herramienta es un administrador y acelerador de descargas que se integra en Firefox

partes van desde Fichero_01.rar hasta Fichero_99.rar

Down Them All

https://www.facebook.com/search/results/?q=

Para poder descargar ficheros por lotes tenemos que utilizar el siguiente descriptor:

[600000000:699999999]

Concatenamos ambas cadenas y obtenemos:

https://www.facebook.com/search/results/?q=[600000000:699999999]
Facebook y la privacidad por defecto: El Teléfono.
URLs que le hemos indicado, es decir:

https://www.facebook.com/search/results/?q=600000000
https://www.facebook.com/search/results/?q=600000001
https://www.facebook.com/search/results/?q=600000002
...
https://www.facebook.com/search/results/?q=699999999

Y descargando en formato HTML una a una todas las respuestas obtenidas en el directorio de

cambiarlas. Nada complicado. Al revisar los ficheros HTML
funciona correctamente.
Facebook y la privacidad por defecto: El Teléfono.
Acotando el rango de teléfonos de España para el ataque:

caso me voy a limitar solo a España
                                      600.000.000 hasta el 699.999.999 pero resulta que no,
que se ha abierto un nuevo rango, desde el 71 hasta el 74. Este nuevo rango no lo voy a tener
en cuenta para este ejemplo, pero habr

operativos.

                                                               registros de
numeración definidos por la CNMC (Comision Nacional de los Mercados y la
Competencia)
esta web podemos
muy valiosa
            31/07/15 con el que podremos realizar

Si abrimos el fichero                      (os recomiendo miraros antes el fichero Leeme.txt
                                                          Facebook para localizar las cuentas
Facebook

                                                       “S d f r” acabamos de descartar un
total de 8.300.000                             83 rangos del tipo: RRR-YXX-XXX.

a la que fueron asignados i

siendo de esa operadora.

Creación de FacePhone

Para realizar esta extracción de forma masiva he desarrollado en Java NetBeans
                                FacePhone
                                                                                         -o no- a
partir del fichero moviles.txt,
esta herramienta nos        de mucha utilidad cuando elijamos los rangos que queremos utilizar
para realizar ataques de fuerza bruta, para realizar la extracción de los datos de los resultados
y para poder exportar la información obtenida.
Facebook y la privacidad por defecto: El Teléfono.
“          f   ”y
haber descargado el fichero moviles.txt mencionado anteriormente. Tan solo debemos de
indicar donde se aloja el fichero moviles.txt y pulsar “  r f r       ”

La herramienta hace el trabajo                                                  Java es
multiplataforma, por lo que podremos utilizar la herramienta tanto en sistemas Microsoft
Windows como en GNU/LiNUX                                                          Java
instalada. Una ve
                         Down Them All. Tan solo tenemos que configurar la herramienta
FacePhone de la siguiente manera.
Facebook y la privacidad por defecto: El Teléfono.
-

-

    https://www.facebook.com/search/results/?q=[666555000:666555110]

fb a fb_000

-

-

-
                                            a Extraer Datos:
Facebook y la privacidad por defecto: El Teléfono.
Pestaña Extraer Datos:

                      as encontradas.

Una vez que el proceso haya finalizado, como ya se ha dicho, FacePhone
                       Cargar Datos para poder visualizarlos en la tabla de resultados.
Facebook y la privacidad por defecto: El Teléfono.
MySQL
                Base de Datos   n Salvar en BD.

            :

usuarios.
:

Desde aquí podemos obtener del servidor MySQL
en una sesión anterior.
Al final obtendremos un listado con todos los datos que hemos ido reclutando. Ni que decir
tiene que una vez que
generar un script que creara un HTML

vive y su correspondiente foto de perfil.

Conclusiones:

Visto que salían muchos números de teléfono de muchas personas que probablemente no
sabían que al instalar Facebook Messenger habían compartido su número con todo el mundo,
decidí comunicárselo a Facebook antes de publicar el artículo. Ellos respondieron que
conocían esta característica y que la consideraban correcta por:

- Hay medidas de protección para evitar el abuso.
- Consideran la extracción masiva descartada.
- El ataque de Fuerza Bruta no es de aplicación práctica real.
- Toda la información es de carácter público.
- El usuario siempre puede configurar que su teléfono no pueda encontrarse en las búsquedas.

Lo cierto es que, aunque es verdad que hacer un ataque de Fuerza Bruta para sacar una gran
cantidad de números de teléfono en corto espacio de tiempo es difícil debido a las
protecciones de baneo, captchas y demás que pone Facebook, sí que es posible sacar grandes
rangos de datos con algo de tiempo. Utilizando un sistema de máquinas en la nube distribuidas
haciendo lo mismo en paralelo o siendo un grupo de trabajo de varias personas, tal vez pueda
salir una buena base de datos con utilidad para atacantes.

Además, en caso de querer hacer un ataque al personal una empresa, utilizando todos los
números de teléfono de la empresa se pueden hacer batidas para sacar los perfiles de todos
los empleados y, aunque hayan configurado la opción de no aparecer en las búsquedas - que
no es la opción por defecto - siempre se podría complementar con el ataque publicado ayer
por Chema Alonso intentando hacer login con el número de teléfono de un rango. En
definitiva, si le diste a Facebook tu número de teléfono, es probable que cualquier te
encuentre por él y lo pueda asociar a tu perfil y el resto de tus datos.

Saludos,

Autor: NeTTinG - Enrique Andrade
Estudiante de Ingeniería Informática (Fic - UDC).
Perito Informático Forense Judicial.
Blog: https://netting.wordpress.com/
También puede leer