skip to main | skip to sidebar
6 commenti

Facebook, allarme per allegati “pubblici” su Messenger

Mi sono arrivate parecchie segnalazioni di un articolo pubblicato su Medium.com che mette in guardia contro un possibile rischio nell’uso di Facebook Messenger. Gli allegati condivisi nelle chat private di Messenger, secondo l’articolo, sarebbero in realtà pubblici.

Premesso che se state usando un social network di qualunque genere per conversazioni riservate state usando lo strumento sbagliato, il problema segnalato dall’articolo di Medium.com è reale, ma con alcune limitazioni.

È vero che è possibile mandare a chiunque un link ad un allegato che è stato condiviso in una chat di Messenger e che chiunque lo potrà usare, almeno temporaneamente, per scaricare l’allegato. Questo fenomeno deriva dal modo in cui funziona Facebook, che si appoggia a una rete esterna (content delivery network o CDN) per gestire il proprio colossale traffico di dati. Ogni allegato Messenger ha quindi un URL (indirizzo) che inizia con cdn.fbsbx.com (non con facebook.com), e quell’URL non è soggetto alle restrizioni d’accesso di Facebook.

Per esempio, se invio con Messenger un allegato, come mostrato qui sotto, mi basta fare clic destro sull’immagine e scegliere Copia indirizzo (o l’equivalente nel vostro computer) per ottenere il link dell’immagine stessa, che è questo ed è pubblicamente accessibile (provateci, se volete).



Il fenomeno è simile a quello delle foto “private” di Facebook che segnalavo nel 2014 e ha grosso modo le stesse limitazioni: in particolare, si può sfruttare solo se qualcuno dei partecipanti allo scambio “privato” manda ad altri o pubblica in Rete il link all’allegato. Questo capita spesso, per esempio per dimostrare che un documento o una foto è realmente presente sul social network. L’importante è saperlo e regolarsi di conseguenza.

O più in generale, si può decidere che una rete che ha nel nome social non è un posto per cose private, altrimenti si chiamerebbe private network.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (6)
La gente, in ogni caso, non ha mica ancora capito che i socialcosi e la privacy si trovano in due galassie diverse. Pubblicano di tutto e di più su servizi accessibili a tutto il mondo e poi si lamentano che qualcuno invade la loro riservatezza? Chi è causa del suo mal...
Copia indirizzo, incolla e vai... teletrasportato sulla Terra immaginata da AstroSamantha, senza passare da FB.
Che tanto in Cina è bloccato, a meno di non usare una buona VPN.
Il punto è che se io posto qualcosa su una chat privata, chiunque accede a questa chat può comunque salvare l immagine e ripubblicarla. Se fosse disabilitato il salvataggio dal software potrebbe comunque fare un banale screenshot e ripubblicarlo, se disabilitano la possibilità di fare uno screenshot potrebbe fare una foto al cellulare con un altro cellulare è ripubblicarlo. Mi sembra un problema inesistente. Il problema è che certe cose se si postano possono bisogna essere consapevoli che finiscono in rete e possono in qualche modo trapelare. L URL del tuo esempio mi pare abbastanza complesso, e non un semplice progressivo tipo foto1.jpg, foto2, ecc ecc. Il vero problema sarebbe se fosse possibile sfogliare tutte queste foto. Se prendiamo un URL di 50 caratteri, con 16 possibilità da 0 a 9 e abcdef, parliamo di 16 elevato alla 50.... Che fa già un bel numerino di URL da provare in cui disseminare i vari allegati. Bisognerebbe fare due prove e capire come vengono composti questi parametri al fondo della URL.

Nel caso Delle cryptovalute, spesso su usano seed composti da 80 caratteri circa, che elevato a 26 caratteri alfabetici porta le probabilità a qualcosa di equiparabile al numero degli elettroni nell universo... O qualcosa del genere... Non ricordo con esattezza. È chiaro che sono comunque tecniche di Security by obscurity, che non sono proprio il massimo, però in questi casi rendono di fatto già parecchio complicato trovare altri file.
Nel commento precedente mi sa che ho invertito l elevazione a potenza. Sono 26 caratteri alfabetici elevato a 81 cifre del seed, che portano a qualcosa tipo 10 elevato alla 115.
una rete che ha nel nome social non è un posto per cose private, altrimenti si chiamerebbe private network

Questa è da scolpire su marmo!
Anche Google Photo usa il sistema dei link complessi con l'ulteriore seccatura di non usare estensioni, cosa che rende difficile l'inclusione nei forum e nei blog.