28 Mayıs 2012 Pazartesi

Facebook Mail Message Vuln. - Sending Message via Fake / Blackmail

Facebook Mesaj Mail Açığı
Facebook Mail

Son günlerde sıklıkla rastlayabileceğimiz bir olaydan bahsetmek istiyorum.
Facebook bildiğiniz üzere mail üzerinden Facebooktaki kişilere mesaj gönderme özelliği getirdi. Yani siz kendi Facebook a kayıtlı mailinizden bir arkadaşınızın Facebook uzantılı mailine gönderi yaptığınızda arkadaşınıza Facebook üzerinden mesaj halinde iletilebiliyor.
Peki bu yararlı olabilecek sistemin eksiklikleri var mı ?
Bu soruya verilecek cevabım evet. Çünkü bu sistem , sadece mail gönderenin mail adresine bakarak çalışmakta ve yanıltılması çok kolay bir sistem olarak şu an işlemekte.
Örneğin bu sistemi geçmenin en basit yolu fake bir mail sender form hazırlayıp gönderen kısmına kimin üzerinden gönderilecekse onun adresini yazarak çoğumuzun karamail olarak bildiği yöntemini uygulamak ve Facebook un bu sistemini yanıltmak.
Kötü niyetli kişi tarafından hazırlanan formda mail gönderim hali şu şekildedir.

Konu (Subject): Örnek
İsim (Name): Kimin Üzerinden Gönderiliyorsa O Kişinin Facebook ta ki Adı
Gönderen (From): kimin_uzerinden_atilacaksa@o_kisinin_facebooka_kayitli_maili.com
Kime (To): Yaniltmak_istenen_kisi@facebook.com
Mesaj (Messsage): Mesaj İçeriği

Bu şekilde bir mail form üzerinden mesaj gönderildiğinde istenilen kişinin üzerinden mesaj atılmış olacak.
Bu şekilde başkaları üzerinden mesaj atılarak stratejik derecedeki kişiler kandırılabilir ve sıkıntı oluşturacak durumlar oluşabilir. Bunun için dikkat etmekte yarar var.
Bunu önlemek için Facebook Güvenlik Ekibinin yapması gereken ilk şey facebook mail dışında hiçbir şekilde kullanıcıların birbirlerine başka mail sağlayıcı üzerinden mesaj atmamasını sağlamak. Yani hotmail , gmail vs . gibi mail sistemlerinden gelen mailleri mesaj olarak düşürmemek.
Bu sistemi kullanmak istiyorsa sadece facebook.com uzantılı maillerin birbirleriyle iletişimini sağlamalı.
Fakat bunu yaparken de mail gönderen sunucu ip , host ismi gibi bilgilere bakarak kontrolünü gerçekleştirmeli ve gelen maile karşı sistemi fake mail saldırılarından korunmalı. En azından "Gonderen Onaylanmadı" şeklinde verdiği uyarıyla birlikte gönderen kişinin gerçek profil kimliği olarak göstermemeli.
Şuan için gönderilen mesajdaki fake mail Facebook a kayıtlı ise onun profilinin resimleri gözüküyor ve bu tür mesajları ünlem işareti ile belirtiyor. Fakat onaysız gelen mesajlar için link ile desteklenmeyen , fake olduğunu gösteren ayrı bir önlem alınabilir.

Bu sistemin bir benzerini daha önce keşfetmiştik. Onda ki zaafiyet şu şekildeydi ; (mobile.facebook.com) üzerinde istediğiniz kişinin mail isminin kriptosunu çözerek (Bunu facebook un kaynağındaki js kodları üzerinden yapmak mümkündü) , istediğiniz kişinin duvarında fake mail üzerinden birşey paylaşmanız mümkündü. Açarsak biraz ; belirtilen maile dışarıdan herhangi bir mailden bir yazı yollandığında o kriptolu mail kime aitse onun duvarında kendine ait paylaşımlar yapılabiliyordu.
Bunun için yapılan uyarıdan sonra Facebook önlem olarak komple mobile kısmındaki random mail üreterek gönderme olayını uzun bir süre kaldırdı. Şu an için mobile daki aynı yapıyı incelemedim fakat Facebook güvenlik ekibi bu tür olaylarda sistemin tüm eksikliklerini gidermeden piyasaya sürerse daha çok başı ağrıyacak gibi gözüküyor.
Bu anlatılan zaafiyet için Facebook Güvenlik Departmanını bilgilendirenlerin olduğunu bildiğimden dolayı aynı uyarıyı tekrar olarak ben yapmayı düşünmedim. Aslına bakarsanız bu olay çok eski , açığın başkaları tarafından bulunma zamanı çok eski fakat son zamanlarda bu tür mesajlaşmaların arttığını , bununla ilgili şikayetlerin geldiğini ve Facebookun yapılan uyarılara karşı çok ciddi bir önlem almadığını görünce bununla ilgili bir bilgilendirme yapmayı da uygun gördüm.
Anlayacağınız son zamanlarda Mark Zuckerberg in Facebook hesabından mesaj alırsanız öncelikle biraz düşünün :)
Ekleme: Php mail sender dosyasını buradan indirebilirsiniz.

Emrullah Akdemir ~ 28.05.2012

44 yorum:

  1. Hocam önerebileceğiniz online bir fakemail servisi var mı ? STMP mail serveri kurmak oldukça zor bir iş. Başkalarının sunduğu bu tip hizmetler vardır diye düşünüyorum.

    YanıtlaSil
    Yanıtlar
    1. Bunun için Smtp vs. e gerek olmadan basit bir Php kodlama ile php mail özelliğini kullanarak ta yapabilirsin.

      Sil
  2. Galiba sender domain kontrolü yapılmaya başlanmış, çalışmıyor şu an

    YanıtlaSil
  3. 5 farklı Php form mail ile denedim ama başaramadım.

    YanıtlaSil
  4. Ben konuyu açtığınız zaman denediğimde oluyordu fakat herhangi bir profil üzerinden şuan sonuç alamadım malesef :/

    YanıtlaSil
  5. backtrack' kara mail send söylememe gerek yok ordan oluyordu :)

    daha once bu yontemı kullanıp markun hesabına sozde gırmıs gıbı gosteren bırı vardı ılgılı video :)

    http://www.youtube.com/watch?v=xtofImMI8uM&lr=1

    YanıtlaSil
    Yanıtlar
    1. Evet video tarihi 2011 ve 2011 yılından beri buna karşı geliştirilen tek önlem "Gönderilen onaylanmadı" şeklinde belirtmesi... O da çoğunun ne kadar dikkatini çekebiliyorsa. Karamail in gerçek gönderen kimliğine ve sunucusuna ulaşmak mümkünken Facebook un bunu hariçten ayıklayamaması çok garip bir durum.

      Sil
  6. Şu an farklı ip deki bir sunucu üzerinden denedim ve çalışmakta.

    YanıtlaSil
  7. Buyur Emrullah Abi. :)

    https://vimeo.com/42913134

    YanıtlaSil
    Yanıtlar
    1. Mail Form'u paylaşmanız mümkün mü ?

      Sil
  8. Herşey tamam hoşta mark'ın mailini nerden bilicez :) Hani ondan mesaj gönderecek olsak :))

    YanıtlaSil
    Yanıtlar
    1. markın maili zaten piyasada mevcut :)

      Sil
  9. Mail hesabına geliyorda, facebook mesaj olarak gelmiyor?

    YanıtlaSil
    Yanıtlar
    1. username@facebook.com uzantılı mail hesabını ve facebookta ki ismini doğru yazıyorsan gelen kutusuna da gider. Eğer arkadaş değilseniz mesajların altında bulunan "diğer" mesajlar bölümüne gider.

      Sil
  10. tarih 7 ay öncesi...

    http://www.youtube.com/watch?v=xtofImMI8uM&feature=plcp

    YanıtlaSil
    Yanıtlar
    1. Evet yeni bir şey olmadığını , son zamanlarda konunun yeniden hortladığını zaten yazımda belirtmişim.

      Sil
  11. inboxa düşen bir kara mail sender verebilirmisiniz emrullah hocam.

    YanıtlaSil
    Yanıtlar
    1. prepararpropuestas.info/wp-content/themes/striking/js/mail.php
      Dene bakalım hala inbox a düşüyor mu.

      Sil
    2. maalesef.. gereksize gönderiyor.. yinede sağol ..
      arkadaşlar elinde inboxa düşen kara mail sender varsa lütfen paylaşabilirmi ?

      Sil
    3. Ben Şuan Gönderebiliyorum.

      http://prepararpropuestas.info/wp-content/themes/striking/js/mail.php

      Sil
    4. Arkadaşlardan biri üstte paylaşmış sanırım. Ama daha sonradan sanki kodlar kendine aitmiş gibi vazgeçmiş gözüküyor =)Piyasada bolca bulacağınız şeylerdir.Nihayetinde php kodlama ile yapılabilecek şeyler.
      Çok zor bişeymiş gibi , sanki kodu kendi yazmış gibi piyasada dolanan arkadaşlar var bunlara sadece gülmek lazım.
      Aşağıdaki php dosyasını php mail fonksiyonu çalışan bir sunucuya atmanız yeterli olacaktır.
      http://s2.dosya.tc/server16/fflgOt/mail.rar.html

      Sil
  12. emrullah abi bu açık hala varmı acaba ?

    YanıtlaSil
    Yanıtlar
    1. Evet halen devam etmekte. Ve şuan ben o sağ tarafında belirten ünlem işaretini geçmenin yolunu bulmuş durumdayım.
      Facebook cidden elden geçirilesi bir platform =)

      Sil
    2. Bunuda bizimle paylaşabilirsiniz ehehe =)

      Sil
  13. Çok güzel bir yazı olmuş hocam elinize sağlık

    YanıtlaSil
  14. Rica etsem markın msn verir misin Emrullah hocam?

    YanıtlaSil
  15. iyi de form mail de sorun var hocam. bi kere yolladı,ondada profil resmi göstermedi. sonra hiç yapamadım

    YanıtlaSil
  16. Açık Devam Ediyormu Acaba ?

    YanıtlaSil
  17. Bu güzel ve özgün paylaşımınız için teşekkür ederim blogunuzu yakından takip ediyor çok beğeniyorum. İnternetin renkli dünyasında kendinizi belli ediyor farkınızı ortaya koyuyorsunuz. Başarılarınızın devamını dilerim

    YanıtlaSil
  18. Mobil facebook dan girince kişi gelen kutusuna bakınca isim değilde mail adresi gözüküyor kimden mesa attıysak hocam bunu nasıl gideririz? Birde sarı ünlem engelini nasıl aşarız ?

    YanıtlaSil
  19. hocam verdiğiniz fake mail sender çalışmıyor maalesef ..
    backtrack dan gönderiyorum bu seferde gönderen kişinin adını nasıl yazabilirim onu bilmiyorum bi yardımcı olabilirseniz sevinirim ..

    YanıtlaSil
  20. Hocam Bir Türlü Olmadı Bu Ya

    YanıtlaSil
  21. Anlaşılan çok uğraşmışsın montaj için ama biraz körlük var sanırım.

    2.fotoğrafta Mark "hala linki değiştirmedin mi ortak!" yazmış. Yazıyı ister yayınla ister yayınlama ne de olsa sen okudun yeter. Kendini hacker sanan arkadaş!

    YanıtlaSil
    Yanıtlar
    1. Gece gece iyi güldürdün canım benim sen gibi genç liseli kardeşler olmasa inan bu dünya çekilmez.
      Olayı anlamayan Türkiye de bir sensin galiba :)

      http://www.r10.net/facebook/1207632-facebook-istedigin-kisiden-mesaj-atma-acigi.html

      http://www.youtube.com/watch?v=xtofImMI8uM&feature=plcp

      https://vimeo.com/42913134

      Sil
    2. Bu Liseli ya da ilkokullu arkadaş durumu farkettiğini sandı hehalde :D

      Sil
    3. Yav Mark üzerinden ben istediğimi yazmışımdır konuşmalarda kime ne değil mi ? Önce ki yazıyı göstersem ne göstermesem ne onu da mı ingilizce yazaydım derler bu liseli arkadaşlara =)) Ama üzüntüm tüm anlatıma rağmen hala olayı anlamamış. Mark sanki bana gerçekten mesaj attı da onu yayınlamışım gibi algılamış galiba =)
      Türkiye'de böyle tipler çok be Emre kardeşim.

      Sil
  22. Hacım daha detaylı anlatamazmısın yahu? kapanmadan işe yarasa?

    YanıtlaSil
  23. Açık hala devam etmektemi emrullah bey? deniyorum fakat hala gitmiyor.
    Önereceğiniz sahte mail form varsa paylaşabilirmisiniz.

    YanıtlaSil
  24. açık devam ediyor mu ben denedim de olmadı facebook yeni mesj görünümüne geçtikten sonra bu açık da kapandı galiba?

    YanıtlaSil
    Yanıtlar
    1. Şuan biraz farklı bir kullanımla açık devam etmektedir.

      Sil
  25. Eğer bizlere yeni açığın kullanımıyla ilgili bilgiyi konuyu düzenleyerek veya buradan cevaplayarak verebilir misiniz? Ben henüz hiç deneyemeden açığın kullanımı değişti, yardımcı olursanız çok memnun olurum.

    YanıtlaSil
  26. Yardımlarınızı bekliyoruz Emrullah Bey

    YanıtlaSil
  27. Umarım açık kullanılabilir şekliyle tekrardan Emrullah bey tarafından anlatılır..

    YanıtlaSil