I use the endpoint page-id/conversations?platform=instagram to get Instagram's private messages and i get attachment. But the field : attachment{image_data} return me the image url in //lookaside.fbsbx.com/ however Instagram use //scontent.cdninstagram.com/ for media.
How to get the valid resource url ? with access_token in url parameters ??
Have a good day !!
Phần lớn mọi người ghét phải mất thời gian gõ những đoạn văn bản dài trong khi trò chuyện qua ứng dụng nhắn tin, nhưng nhờ vào tính năng ghi âm tin nhắn thoại trên WhatsApp và Facebook Messenger, người dùng giờ có thể dễ dàng gửi đi các đoạn thông điệp dài hơn mà không phải nỗ lực gõ phím trên màn hình cảm ứng nữa.
Tuy nhiên, nếu bạn là người ưa thích gửi đi các đoạn clip có âm thanh thay vì những đoạn văn bản dài, cho bạn bè của mình qua Facebook Messenger, bạn dễ có khả năng trở thành nạn nhân của một cuộc tấn công Man-In-The-Middle [MITM: tấn công người trung gian] đơn giản. Hậu quả là kẻ tấn công có thể làm rò rỉ và nghe trộm những đoạn clip thoại của bạn.
Điều đáng lo ngại hơn nữa là lỗ hổng này vẫn chưa được người khổng lồ về mạng xã hội vá lại.
Nhà nghiên cứu bảo mật người Ai Cập Mohamed A. Baset nói với trang The Hacker News về một lỗ hổng trong tính năng ghi lại các đoạn clip thoại trên Facebook Messenger, có thể cho phép bất kỳ kẻ tấn công nào với phương pháp MITM cũng lấy được những tập tin clip thoại của bạn từ máy chủ của Facebook và nghe được các tin nhắn thoại riêng tư của bạn.
Làm thế nào kẻ tấn công nghe được những đoạn clip riêng tư của bạn?
Bất cứ khi nào bạn ghi âm một đoạn tin nhắn video để gửi nó cho bạn bè, đoạn clip đó sẽ được tải lên máy chủ CDN của Facebook [ví dụ như địa chỉ: //z-1-cdn.fbsbx.com/ ...] từ nơi gần với người dùng nhất, để gửi qua giao thức HTTPS, tới cả người gửi và người nhận.
Nhưng giờ, bất kỳ kẻ tấn công nào cũng chỉ cần xâm nhập vào mạng lưới, thực hiện một cuộc tấn công MITM với công cụ SSL Strip, là có thể trích xuất các đường link trực tiếp [bao gồm cả token xác thực bí mật nhúng trong đường link URL] tới tất cả những file âm thanh trao đổi giữa người gửi và người nhận với nhau.
Sau đó, kẻ tấn công có thể hạ cấp [downgrade] các đường link trực tiếp đó, từ HTTPS về HTTP, cho phép kẻ tấn công download trực tiếp những file âm thanh đó mà không cần có sự xác thực nào.
Đến đây chắc hẳn bạn sẽ thắc mắc, làm thế nào những kẻ hacker đó có thể dễ dàng làm như vậy?
Đó là vì máy chủ CDN của Facebook không áp dụng chính sách HTTP Strict Transport Security [HSTS] – phương pháp bảo mật nghiêm ngặt cho việc truyền đi các tập tin – để buộc các trình duyệt và ứng dụng của người dùng chỉ giao tiếp với các máy chủ của mình thông qua kết nối theo giao thức HTTPS, và giúp các trang web tránh khỏi các cuộc tấn công nhằm hạ cấp giao thức bảo mật.
Nguyên nhân thứ hai là do việc thiếu phương pháp xác thực chính xác – nếu một file được chia sẻ giữa hai người dùng Facebook, nhẽ ra nó không được phép truy cập bởi bất kỳ ai ngoài họ, ngay cả khi người đó có được đường link tải trực tiếp đến file của họ, với token bí mật để truy cập vào file đó.
Để minh chứng cho phương pháp tấn công này, Mohamed gửi một đoạn clip thoại đến một người bạn của mình qua Facebook Messenger và bằng cách tấn công MITM, anh trích xuất được đường link tải trực tiếp cho file tin nhắn thoại đó, để bất kỳ ai cũng có thể tải nó xuống từ máy chủ của Facebook, kể cả bạn, mà không cần có sự xác thực nào.
“Các truy vấn GET là điều mà trình duyệt có thể lưu trong bộ nhớ đệm, hay lịch sử truy cập của nó, vì vậy, nó giúp cho việc có được file đó qua các truy vấn POST dễ dàng hơn bằng cách áp dụng token cho việc chống lại cuộc tấn công CSRF.” Mohamed nói với trang The Hacker News.
Chưa được vá và không tiền thưởng phát hiện lỗi
Mohamed đã thông báo vấn đề này với Facebook, và công ty đã biết về lỗ hổng này, nhưng họ vẫn chưa vá được nó. Facebook cũng không đưa ra khoản tiền thưởng nào cho nhà nghiên cứu với việc phát hiện lỗi này, do những cuộc tấn công hạ cấp bảo mật website không nằm trong chương trình tiền thưởng phát hiện lỗi của họ.
Tấn công máy chủ CDN Facebook để nghe trộm tin nhắn thoại của người dùng.
Dưới đây là những gì nhóm bảo mật của Facebook trả lời Mohamed:
“Chúng tôi đang trong quá trình triển khai HSTS cho toàn bộ các subdomain [tên miền phụ] cho facebook.com. Vì vậy, việc phát hiện chúng tôi không triển khai nó trên một số subdomain cụ thể sẽ không được ghi nhận hợp lệ với chương trình tiền thưởng của chúng tôi.”
“Nói chung, gửi các báo cáo về việc chúng tôi nên sử dụng các cơ chế phòng thủ chiều sâu như HSTS sẽ không đủ điều kiện cho chương trình tiền thưởng của chúng tôi. Chúng tôi đưa ra các quyết định rất thận trọng khi triển khai [hay không triển khai] các phương pháp bảo vệ cụ thể và vì vậy, các báo cáo cho rằng chúng tôi nên thực hiện các thay đổi như thế nào, thường sẽ không đủ điều kiện.”
Bạn có thể xem các bằng chứng về cuộc tấn công trong video trình diễn trên.
Hiện tại nhóm bảo mật vẫn chưa trả lời về các yêu cầu bình luận cho sự việc trên từ trang The Hacker News.
Theo The Hacker News
Chuyên gia nói Facebook đang sử dụng smartphone của chính bạn để nghe lén
Tài khoản nạn nhân sẽ nhận được file có hình dạng là Video_xxx . bz số xxx được thay vào là số ngẫu nhiên. Nhưng nạn nhân thường bị “dính chưởng” là chính tài khoản người thân quen gửi nên nhiều khi chủ quan…
Hình minh họa – admin cũng bị
Nhưng thật chất là file đó 1 đường link dài lòng thòng bên dưới:
// cdn.fbsbx.com/ v/t59.2708-21/58019151_2294018350848182_1514104537391038464_n.bz/video_49637.bz?
_nc_cat=105&_nc_oc=AQl07gFpH78ARyEP5jNsNj43u54Kwl_5gFih6r7PodWqXbu7iRNuZWK_YUoeIIYX ryRBuh_nl4QszR5-ICVD9
r7v&_nc_ht=cdn. fbsbx.com&oh= 4d03f79323d3f025b71b434cb6a52227&oe=5CD2653D&dl=1&fbclid=IwAR3hHRN7XwbP_jndi
wpwL3lNNG4UNINgfsHuuWOU6bI PxIxqk2czyhPAj8k
Nếu click vào link này thì dự kiến sẽ như sau:
- Mã độc tự động tải và cài đặt một số tập tin độc hại vào máy tính: 7za.exe, files.7z từ trang web độc hại có tên miền yumuy.johet. bz [với các mẫu mã độc khác nhau, domain này có thể thay đổi].
- Mã độc sẽ sử dụng tập tin 7za.exe để giải nén tập tin file.7z, sau đó lấy tiện ích mở rộng [extension] độc hại và tự động cài đặt tiện ích mở rộng này này vào trình duyệt Chrome. Đồng thời, mã độc này không cho người dùng truy cập vào phần quản lý tiện ích mở rộng của trình duyệt. Trong tập tin được giải nén có chứa các tập tin thực thi được cho là sử dụng nhằm mục đích lợi dụng tài nguyên máy tính người dùng để đào tiền ảo.
Tóm lại ý này: Là hacker điều khiển từ xa máy tính bị nhiễm mã độc chạy hack tiền ảo - Dự kiến sẽ ảnh hưởng email khi khi xài trình duyệt mà bị chiếm dụng tiện ích mở rộng [outlook ứng dụng không ảnh hưởng]
Nếu đã bị lây nhiễm rồi phải xử lý:
+ Buột phải cài đặt hoặc cập nhật các phần mềm phòng chống mã độc, diệt virus – Mã Độc mới nhất.
+ Vào Setting -> chrome://extensions/ -> Remove những ứng dụng lạ
+ Chát Zalo hoặc gọi điện thoại kêu cầu người gửi đổi pass [vì nhiều khi họ không biết là mình gửi]
Xanh Lá
>>> xem thêm: Bảo vệ tài khoản Facebook không bao giờ bị hack