脸书文本通知=危险
脸书文本通知=危险
原文:https://medium.com/hackernoon/facebook-text-notifications-71ffa532dcba
最近,我在脸书上发现了一些功能,看起来……至少可以说令人担忧。
在脸书上,如果你注册了短信通知,当有人评论你的状态、接受你的好友请求等时,你会收到一条短信。在那条短信里,会有一个链接,把你引向下面这个 URL 格式的帖子:【https://fb.com/l/】some-hash-here>。
奇怪的是,当你点击这个链接时,你会被自动认证并登录到你的脸书账户。没错。它不会要求您输入用户名或密码,而只是让您访问帐户。只需点击这个链接,你就获得了对那个账户的完全控制权(如果这个账户不是你的,这显然不好)。这意味着,如果您与他人共享您的短信通知链接,他们只需点击一下就可以访问您的脸书帐户。只有我一个人认为这很荒谬吗?
将此问题报告给脸书安全团队后,我收到了包括以下内容的回复:
“这种情况下的保护措施是不允许他人访问您的设备,或者从不与其他用户共享私人链接。”
他们能够确认这是预期的功能,这使得事情变得更糟。在这种情况下,什么是“私人链接”?我总是和朋友分享脸书的视频链接。我没有读到过链接不应该被分享,因为它可能会暴露你的脸书账户。
我相信很多人已经在他们的脸书账户上激活了这些移动提醒,所以我发布这个来提高对这个奇怪功能的认识。
如果你不相信,请自己尝试一下。脸书让你从自己的账户中生成测试用户。只需生成两个测试帐户 A 和 B,在 A 上设置短信通知,并将 A 添加为 B 的好友。您应该会收到一条带有链接的短信。在任何平台上单击该链接,您应该可以作为登录(不需要用户名/密码)。
黑客中午是黑客如何开始他们的下午。我们是 @AMI 家庭的一员。我们现在接受投稿,并乐意讨论广告&赞助机会。
要了解更多信息,请阅读我们的“关于”页面、在脸书上点赞/给我们发消息,或者简单地说, tweet/DM @HackerNoon。