Facebook Mail Message Vuln. - Sending Message via Fake / Blackmail

Facebook Mail

Son günlerde sıklıkla rastlayabileceğimiz bir olaydan bahsetmek istiyorum.
Facebook bildiğiniz üzere mail üzerinden Facebooktaki kişilere mesaj gönderme özelliği getirdi. Yani siz kendi Facebook a kayıtlı mailinizden bir arkadaşınızın Facebook uzantılı mailine gönderi yaptığınızda arkadaşınıza Facebook üzerinden mesaj halinde iletilebiliyor.
Peki bu yararlı olabilecek sistemin eksiklikleri var mı ?
Bu soruya verilecek cevabım evet. Çünkü bu sistem , sadece mail gönderenin mail adresine bakarak çalışmakta ve yanıltılması çok kolay bir sistem olarak şu an işlemekte.
Örneğin bu sistemi geçmenin en basit yolu fake bir mail sender form hazırlayıp gönderen kısmına kimin üzerinden gönderilecekse onun adresini yazarak çoğumuzun karamail olarak bildiği yöntemini uygulamak ve Facebook un bu sistemini yanıltmak.
Kötü niyetli kişi tarafından hazırlanan formda mail gönderim hali şu şekildedir.

Konu (Subject): Örnek
İsim (Name): Kimin Üzerinden Gönderiliyorsa O Kişinin Facebook ta ki Adı
Gönderen (From): kimin_uzerinden_atilacaksa@o_kisinin_facebooka_kayitli_maili.com
Kime (To): [email protected]
Mesaj (Messsage): Mesaj İçeriği

Bu şekilde bir mail form üzerinden mesaj gönderildiğinde istenilen kişinin üzerinden mesaj atılmış olacak.
Bu şekilde başkaları üzerinden mesaj atılarak stratejik derecedeki kişiler kandırılabilir ve sıkıntı oluşturacak durumlar oluşabilir. Bunun için dikkat etmekte yarar var.
Bunu önlemek için Facebook Güvenlik Ekibinin yapması gereken ilk şey facebook mail dışında hiçbir şekilde kullanıcıların birbirlerine başka mail sağlayıcı üzerinden mesaj atmamasını sağlamak. Yani hotmail , gmail vs . gibi mail sistemlerinden gelen mailleri mesaj olarak düşürmemek.
Bu sistemi kullanmak istiyorsa sadece facebook.com uzantılı maillerin birbirleriyle iletişimini sağlamalı.
Fakat bunu yaparken de mail gönderen sunucu ip , host ismi gibi bilgilere bakarak kontrolünü gerçekleştirmeli ve gelen maile karşı sistemi fake mail saldırılarından korunmalı. En azından "Gonderen Onaylanmadı" şeklinde verdiği uyarıyla birlikte gönderen kişinin gerçek profil kimliği olarak göstermemeli.
Şuan için gönderilen mesajdaki fake mail Facebook a kayıtlı ise onun profilinin resimleri gözüküyor ve bu tür mesajları ünlem işareti ile belirtiyor. Fakat onaysız gelen mesajlar için link ile desteklenmeyen , fake olduğunu gösteren ayrı bir önlem alınabilir.

Bu sistemin bir benzerini daha önce keşfetmiştik. Onda ki zaafiyet şu şekildeydi ; (mobile.facebook.com) üzerinde istediğiniz kişinin mail isminin kriptosunu çözerek (Bunu facebook un kaynağındaki js kodları üzerinden yapmak mümkündü) , istediğiniz kişinin duvarında fake mail üzerinden birşey paylaşmanız mümkündü. Açarsak biraz ; belirtilen maile dışarıdan herhangi bir mailden bir yazı yollandığında o kriptolu mail kime aitse onun duvarında kendine ait paylaşımlar yapılabiliyordu.
Bunun için yapılan uyarıdan sonra Facebook önlem olarak komple mobile kısmındaki random mail üreterek gönderme olayını uzun bir süre kaldırdı. Şu an için mobile daki aynı yapıyı incelemedim fakat Facebook güvenlik ekibi bu tür olaylarda sistemin tüm eksikliklerini gidermeden piyasaya sürerse daha çok başı ağrıyacak gibi gözüküyor.
Bu anlatılan zaafiyet için Facebook Güvenlik Departmanını bilgilendirenlerin olduğunu bildiğimden dolayı aynı uyarıyı tekrar olarak ben yapmayı düşünmedim. Aslına bakarsanız bu olay çok eski , açığın başkaları tarafından bulunma zamanı çok eski fakat son zamanlarda bu tür mesajlaşmaların arttığını , bununla ilgili şikayetlerin geldiğini ve Facebookun yapılan uyarılara karşı çok ciddi bir önlem almadığını görünce bununla ilgili bir bilgilendirme yapmayı da uygun gördüm.
Anlayacağınız son zamanlarda Mark Zuckerberg in Facebook hesabından mesaj alırsanız öncelikle biraz düşünün :)
Ekleme: Php mail sender dosyasını buradan indirebilirsiniz.

Emrullah Akdemir ~ 28.05.2012