Cerca nel blog

2017/10/27

Facebook, allarme per allegati “pubblici” su Messenger

Mi sono arrivate parecchie segnalazioni di un articolo pubblicato su Medium.com che mette in guardia contro un possibile rischio nell’uso di Facebook Messenger. Gli allegati condivisi nelle chat private di Messenger, secondo l’articolo, sarebbero in realtà pubblici.

Premesso che se state usando un social network di qualunque genere per conversazioni riservate state usando lo strumento sbagliato, il problema segnalato dall’articolo di Medium.com è reale, ma con alcune limitazioni.

È vero che è possibile mandare a chiunque un link ad un allegato che è stato condiviso in una chat di Messenger e che chiunque lo potrà usare, almeno temporaneamente, per scaricare l’allegato. Questo fenomeno deriva dal modo in cui funziona Facebook, che si appoggia a una rete esterna (content delivery network o CDN) per gestire il proprio colossale traffico di dati. Ogni allegato Messenger ha quindi un URL (indirizzo) che inizia con cdn.fbsbx.com (non con facebook.com), e quell’URL non è soggetto alle restrizioni d’accesso di Facebook.

Per esempio, se invio con Messenger un allegato, come mostrato qui sotto, mi basta fare clic destro sull’immagine e scegliere Copia indirizzo (o l’equivalente nel vostro computer) per ottenere il link dell’immagine stessa, che è questo ed è pubblicamente accessibile (provateci, se volete).



Il fenomeno è simile a quello delle foto “private” di Facebook che segnalavo nel 2014 e ha grosso modo le stesse limitazioni: in particolare, si può sfruttare solo se qualcuno dei partecipanti allo scambio “privato” manda ad altri o pubblica in Rete il link all’allegato. Questo capita spesso, per esempio per dimostrare che un documento o una foto è realmente presente sul social network. L’importante è saperlo e regolarsi di conseguenza.

O più in generale, si può decidere che una rete che ha nel nome social non è un posto per cose private, altrimenti si chiamerebbe private network.

6 commenti:

Dumdumderum ha detto...

La gente, in ogni caso, non ha mica ancora capito che i socialcosi e la privacy si trovano in due galassie diverse. Pubblicano di tutto e di più su servizi accessibili a tutto il mondo e poi si lamentano che qualcuno invade la loro riservatezza? Chi è causa del suo mal...

rico ha detto...

Copia indirizzo, incolla e vai... teletrasportato sulla Terra immaginata da AstroSamantha, senza passare da FB.
Che tanto in Cina è bloccato, a meno di non usare una buona VPN.

Gianmaria ha detto...

Il punto è che se io posto qualcosa su una chat privata, chiunque accede a questa chat può comunque salvare l immagine e ripubblicarla. Se fosse disabilitato il salvataggio dal software potrebbe comunque fare un banale screenshot e ripubblicarlo, se disabilitano la possibilità di fare uno screenshot potrebbe fare una foto al cellulare con un altro cellulare è ripubblicarlo. Mi sembra un problema inesistente. Il problema è che certe cose se si postano possono bisogna essere consapevoli che finiscono in rete e possono in qualche modo trapelare. L URL del tuo esempio mi pare abbastanza complesso, e non un semplice progressivo tipo foto1.jpg, foto2, ecc ecc. Il vero problema sarebbe se fosse possibile sfogliare tutte queste foto. Se prendiamo un URL di 50 caratteri, con 16 possibilità da 0 a 9 e abcdef, parliamo di 16 elevato alla 50.... Che fa già un bel numerino di URL da provare in cui disseminare i vari allegati. Bisognerebbe fare due prove e capire come vengono composti questi parametri al fondo della URL.

Nel caso Delle cryptovalute, spesso su usano seed composti da 80 caratteri circa, che elevato a 26 caratteri alfabetici porta le probabilità a qualcosa di equiparabile al numero degli elettroni nell universo... O qualcosa del genere... Non ricordo con esattezza. È chiaro che sono comunque tecniche di Security by obscurity, che non sono proprio il massimo, però in questi casi rendono di fatto già parecchio complicato trovare altri file.

Gianmaria ha detto...

Nel commento precedente mi sa che ho invertito l elevazione a potenza. Sono 26 caratteri alfabetici elevato a 81 cifre del seed, che portano a qualcosa tipo 10 elevato alla 115.

Massimo Musante ha detto...

una rete che ha nel nome social non è un posto per cose private, altrimenti si chiamerebbe private network

Questa è da scolpire su marmo!

Scatola Grande ha detto...

Anche Google Photo usa il sistema dei link complessi con l'ulteriore seccatura di non usare estensioni, cosa che rende difficile l'inclusione nei forum e nei blog.