Facebook的手机搜索可能被滥用以查找人的号码，研究人员称

攻击者可以滥用Facebook的手机搜索功能找到有效的电话号码和他们的主人的名字，据安全研究人员称。独立安全研究员Suriya Prakash在最近的一篇博客文章中表示，它不会限制用户通过其网站的移动版本执行的电话号码搜索次数。

Facebook允许用户将他们的电话号码与他们的帐户。如果事实上，需要手机号码来验证任何新的Facebook帐户，并解锁视频上传或时间轴URL个性化等功能。

[更多阅读：如何从Windows PC中删除恶意软件]

将电话号码添加到在他们各自的Facebook个人资料页面的“联系信息”部分中，用户可以选择是否想让这些信息对公众显示，只显示给他们的朋友，或者如果他们想保留自己，这是一个很好的隐私选项。

Facebook还允许用户通过搜索国际格式的人们的电话号码来查找网站上的其他人。

用户可以通过“隐私设置”>“您连接“>”谁可以使用您提供的电子邮件地址或电话号码来查看您？“这是默认设置为“每个人”。

这意味着即使您在您的个人资料页面上将电话号码的可见性设置为“仅我”，任何知道您电话号码的人仍然可以在Facebook上找到您，除非您将第二个设置更改为“朋友”或“朋友之友”。无法阻止每个人使用您的电话号码查找您的个人资料。

由于大多数人不会更改此设置的默认值，因此攻击者可能会在选定的内容中生成连续电话号码列表范围 - 例如来自特定的操作员 - 并使用Facebook的搜索框来发现他们所属的人，Prakash说。他说，将一个随机的电话号码与名字联系起来就是每个广告商的梦想，而这些名单将在黑市上获得很高的价格，他表示，Prakash声称他在八月份与Facebook的安全团队分享了这个攻击场景， 8月31日，他的所有电子邮件都没有得到答复，直到10月2日，Facebook代表作出回应，并表示通过任何方式（包括电话号码）可以在网站上找到用户的速度受到限制。

然而，Facebook的网站-m.facebook.com的移动版本似乎没有任何搜索速率的限制，Prakash说，

研究人员用美国和印度的国家前缀生成数字，并创建了一个简单的证明 - 概念（PoC）宏脚本，在Facebook上搜索它们并保存与Facebook个人资料相关联的那些脚本以及其所有者的名字。

Prakash说他决定在几天内公开披露该漏洞船尾呃将他的PoC脚本发送到Facebook，因为该公司没有回应。普拉卡什甚至发表了850份部分模糊的电话号码和相关名字，他声称这些名字代表了他在测试中获得的数据中的很小一部分。

“自从我开始运行它大约一周后，我仍然没有被阻止，“普拉卡什星期一通过电子邮件说。 “

Facebook没有回复周一发送的评论请求

另一位研究人员测试

继普拉卡什的公开披露之后，泰勒博兰德，一位网络安全供应商Alert Logic的安全研究员创建了一个更高效的脚本，可以同时运行多达十个Facebook电话搜索进程。 Borland的脚本被称为“Facebook电话爬虫”，可以从用户指定的范围搜索电话号码。

“通过默认设置，我能够每秒钟验证一个电话号码的数据，”Borland周一通过电子邮件表示。 “他们[Facebook]没有采用任何类型的速率限制，或者我还没有达到这个限制，再次，我在很短的时间间隔内发送了数百个请求，没有发生任何事情。”

在Borland的脚本运行时僵尸网络超过100,000台计算机 - 攻击者可以在几天内找到大多数Facebook用户的手机号码和姓名，手机号码与他们的帐户相关联，Prakash说。

这个漏洞仍然是开放的，并且存在公用工具可用于利用它，反病毒供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu周一称通过电子邮件发送。他说，很少有用户改变他们的默认隐私设置，这是另一个例子，说明如果安全机制执行不力或完全失踪，一个重要功能如何最终被滥用，Botezatu说。 “与电子邮件或博客评论不同，通过电话接触用户在针对[语音网页仿冒]攻击的矛中更加有效，主要是因为计算机用户不知道他的电话号码可能已经以在他们的个人资料中加入用户信息，攻击者可以说服用户迅速处理个人信息。“

语音网络钓鱼攻击和其他类型的电话诈骗很常见，并且他们的成功率已经很高，Botezatu

“现在想象一下，这些骗子用你的全名向你发消息，并将你的[Facebook]个人资料中直接提供的关于你的信息备份到他们的声明中。” Botezatu说。