Come hackerare qualsiasi account di Facebook in meno di un minuto, inviando solo un SMS

, Author

Facebook cellulareUn ricercatore di sicurezza del Regno Unito che si fa chiamare “fin1te” si è guadagnato 20.000 dollari dopo aver scoperto un modo per entrare in qualsiasi account di Facebook, semplicemente inviando un SMS al cellulare.

Questo avrebbe dovuto – ovviamente – essere impossibile, ma a causa di una debolezza nel groviglio di milioni e milioni di linee di codice di Facebook, potenzialmente centinaia di milioni di account erano vulnerabili al dirottamento attraverso la semplice tecnica.

Fin1te (vero nome Jack Whitten) ha documentato come funziona l’hack sul suo blog.

La prima cosa da fare è inviare la lettera “F” in un messaggio SMS a Facebook, come se si stesse legittimamente registrando il proprio cellulare al social network. Nel Regno Unito, il codice breve SMS per Facebook è 32665.

Invia un SMS a Facebook

Facebook risponde, via SMS, con un codice di conferma di otto caratteri.

La normale sequenza di eventi sarebbe quella di inserire quel codice di conferma in un modulo di Facebook, e andare avanti per la tua strada…

Formulario di attivazione mobile di Facebook

Ma fin1te ha scoperto che esisteva una vulnerabilità su quel modulo, che poteva essere sfruttata per utilizzare il codice di conferma che gli era stato inviato da Facebook via SMS con l’account di *qualsiasi* altro.

Quello che fin1te aveva scoperto era che uno degli elementi del modulo di attivazione mobile conteneva, come parametro, l’ID del profilo dell’utente. Questo è il numero unico associato all’account del tuo obiettivo.

Parametro ID del profilo all'interno del modulo

Cambia l’ID del profilo che viene inviato da quel modulo a Facebook, e il social network potrebbe essere ingannato nel pensare che tu sia qualcun altro che collega un telefono cellulare al suo account.

Quindi, il primo passo necessario per dirottare l’account di qualcuno in questo modo richiede l’ID del profilo Facebook unico della tua vittima.

Se non sapete qual è l’ID del profilo numerico di qualcuno, potete sempre cercarlo utilizzando strumenti liberamente disponibili – non dovrebbero essere un segreto.

Trova l'ID del profilo di Facebook

Sicuramente, fin1te è stato in grado di sostituire il parametro ID del profilo inviato dal suo browser a Facebook con il numero unico dell’account a cui voleva accedere…

Facebook hack data

.. e in pochi secondi il suo cellulare ha ricevuto un SMS di conferma che aveva collegato con successo il dispositivo all’account.

SMS di conferma di Facebook

Successo. Un account Facebook ha ora associato il numero di cellulare di un terzo. Senza alcun bisogno di malware o phishing. Tutto ciò che è stato fatto è stato l’invio di un SMS.

La fase finale del dirottamento dell’account è semplice. Facebook ti permette di accedere al suo sistema usando il tuo numero di cellulare piuttosto che un indirizzo email, se vuoi, quindi al login inserisci il numero di cellulare che hai associato all’account della tua vittima, e richiedi un reset della password via SMS.

Codice di reset della password di Facebook

Sicuramente, fin1te ha scoperto che Facebook gli ha debitamente inviato il codice di reset della password dell’account – il che significa che poteva cambiare la password dell’account, e bloccare il suo utente legittimo.

Questo è un modo incredibilmente semplice ma potente per prendere il controllo dell’account Facebook di chiunque.

La buona notizia è che fin1te ha rivelato la vulnerabilità in modo responsabile a Facebook, piuttosto che sfruttarla per intenzioni maligne o venderla ad altre parti. Facebook ha risolto il problema in modo che altri non possano più approfittare di questo grave buco di sicurezza. Per i suoi problemi, Facebook ha premiato fin1te con una cospicua taglia di 20.000 dollari e ha risolto la vulnerabilità.

Ma non c’è dubbio che sul mercato sotterraneo, magari venduto a criminali informatici o agenzie di intelligence, la scoperta di fin1te avrebbe potuto fargli guadagnare ancora più soldi.

Chissà quali altre gravi vulnerabilità di sicurezza possono trovarsi all’interno di Facebook che non sono state responsabilmente segnalate al team di sicurezza della società?

Se stai pensando di lasciare Facebook, perché non ascoltare questo podcast “Smashing Security” che abbiamo registrato:

Smashing Security #75: ‘Quitting Facebook’

Il tuo browser non supporta questo elemento audio.https://aphid.fireside.fm/d/1437767933/dd3252a8-95c3-41f8-a8a0-9d5d2f9e0bc6/3e3e8a52-4c1e-45c7-8271-8c13eb312039.mp3

Senti su Apple Podcasts | Google Podcasts | Pocket Casts | Spotify | Other… | RSS
Altri episodi…

Hai trovato interessante questo articolo? Segui Graham Cluley su Twitter per leggere altri contenuti esclusivi che pubblichiamo.

Graham Cluley è un veterano dell’industria anti-virus, avendo lavorato per diverse aziende di sicurezza fin dai primi anni ’90, quando ha scritto la prima versione del Dr Solomon’s Anti-Virus Toolkit per Windows. Ora è un analista di sicurezza indipendente, fa regolarmente apparizioni sui media ed è un oratore pubblico internazionale sul tema della sicurezza dei computer, degli hacker e della privacy online.Seguitelo su Twitter a @gcluley, o mandategli un’email.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.