Dyrk.org - Do You Really Know

[Facebook] Et si vos contenus ‘privés’ étaient malgré tout publics !

Publié le 29 novembre 2016 par #Ro0t

capture

 

Une fois n’est pas coutume, et malgré les efforts acharnés de Facebook pour changer cette image … sa politique en matière de « donnée privée » est de nouveau remise en cause …

 

Pour vous mettre, bien dans le contexte, j’étais entrain de réaliser un proof of concept (une preuve), permettant de démontrer comment … à distance, deviner, si une personne est connectée ou non,  à son compte Facebook.
Pour cela, je suis parti de l’hypothèse qu’une photo avec des droits restreints … n’était normalement pas consultable depuis un autre compte, et surtout pas en  « publique » !

 

capture1

 

Aussi, pour réaliser ce « poc » (proof of concept), j’ai récupéré l’url (l’adresse) d’une image normalement « restreinte » à un petit groupe de personnes …

 

capture2

 

Puis j’ai commencé à écrire un script  ….

 

var hack = document.createElement('img');
hack.src = "https://scontent-ams3-1.xx.fbcdn.net/v/t1.0-9/....983321788_n.jpg";
hack.addEventListener('load', function(){ alert("Je sais que tu es connecté"); });
document.getElementsByTagName('html')[0].appendChild(hack);

 

… tout fier, et plutôt sûr de moi …
J’ai voulu le tester en me connectant en « navigation privée » (sans cookies, ni autres données permettant de m’identifier).

capture
L’utilisation de la « navigation privée« , était là pour simuler un utilisateur non connecté à Facebook …

Sauf que je parvenais malgré tout à afficher l’image !!!! Tout en étant non « connecté »

 

capture3

 

J’ai récidivé sur des images uniquement consultables par moi …

 

capture

 

Et devinez quoi ?

Pareil, le lien vers l’image était toujours valide …
On aurait pu imaginer un contrôle de l’utilisateur sur l’affichage des images sur Facebook … mais non …

Qu’est-ce que ça signifie ?

 

Que mon script est obsolète … mais ça tout le monde s’en fout …
Plus concrètement ça signifie que n’importe qui dans vos amis, peut partager un lien vers vos images, et donc partager vos images …
Bien entendu, même si Facebook contrôlait l’utilisateur, ça n’empêcherait pas les captures d’écran … ou l’enregistrement des images …

Sécurité 0

 

Désactiver le clic droit sur les images, contrôler les utilisateurs qui consultent les images et SURTOUT ne pas laisser le contenu « privé » accessible à des utilisateurs non inscrits ….
Récupération des images par des requêtes POST + vérification de l’origine de la requête …
Quelques mesures qui iraient probablement dans le bon sens quant à la vie privée des personnes inscrites sur Facebook

Conclusion

 

Faites vraiment attention à ce que vous partagez sur Facebook, et surtout avec qui vous le partagez ….
Le lien vers l’image que vous partagerez contient des tokens (données qui vous identifient) …

capture

La personne qui consultera ce lien, pourra la voir comme si elle était vous … sans autre forme de contrôle