如何獲取Facebook Marketplace賣家精確地理位置信息

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)如何獲取Facebook Marketplace賣家精確地理位置信息，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

本文分享的writeup是與Facebook Marketplace銷售系統(tǒng)相關(guān)的用戶信息泄露漏洞，通過(guò)該漏洞可以獲取到發(fā)布商品賣家的精確到經(jīng)緯度和郵編等具體地理位置信息。漏洞上報(bào)一波三折，經(jīng)歷拒絕后再次被Facebook接收，以下是作者的漏洞發(fā)現(xiàn)分享。

Facebook Marketplace簡(jiǎn)介

Facebook Marketplace是Facebook于2016年10月在移動(dòng)端推出的一個(gè)P2P（個(gè)人對(duì)個(gè)人）的商品拍賣和交易功能，允許用戶在其上購(gòu)買和銷售物品。

點(diǎn)擊Facebook底部的Marketplace按鈕進(jìn)入，在界面中用戶可以像網(wǎng)絡(luò)商城那樣直接以商品名字、種類和售價(jià)等分類來(lái)搜索某商品，F(xiàn)acebook會(huì)自動(dòng)為用戶顯示最靠近用戶身邊的Facebook賣家，并顯示該賣家的報(bào)價(jià)和商品信息。在找到心儀商品之后，用戶便可以直接用Messenger來(lái)與該賣家聯(lián)絡(luò)。而如果你是賣家，你也可以直接在Marketplace中添加商品、報(bào)價(jià)、地點(diǎn)等相關(guān)消息。與一般拍賣網(wǎng)站不同的是，其內(nèi)置的地點(diǎn)工具可以調(diào)整中你正在查看的地區(qū)，或變更為其它城市。目前，F(xiàn)acebook Marketplace服務(wù)僅在某些國(guó)家開(kāi)放。

發(fā)現(xiàn)漏洞的原因

Facebook Marketplace上線后，有些賣家會(huì)在上面銷售一些被盜商品，所以我有時(shí)會(huì)協(xié)助調(diào)查Facebook Marketplace中的一些被盜商品，在分析其相關(guān)的可追回技術(shù)可行性過(guò)程中，我發(fā)現(xiàn)了其中存在的一個(gè)漏洞，利用該漏洞可以發(fā)現(xiàn)賣家的一些敏感數(shù)據(jù)，獲取其包含經(jīng)緯度的精確地理位置。

以我要賣掉的下圖這輛7000歐的山地自行車拍賣銷售頁(yè)面分析入手，經(jīng)測(cè)試，我發(fā)現(xiàn)Facebook Marketplace中與地理位置相關(guān)的數(shù)據(jù)信息相對(duì)具體，它包含在銷售商品返回的廣告中，其相關(guān)的響應(yīng)消息為JSON格式內(nèi)容，而這種賣家商品的地理位置又可以通過(guò)Facebook Marketplace進(jìn)行設(shè)定。

為此，我覺(jué)得有些疑惑，為什么Facebook Marketplace呈現(xiàn)在用戶頁(yè)面上的商品地理位置又非常簡(jiǎn)單呢？這看來(lái)值得深究一番。

深入分析

于是，我又登錄進(jìn)入Facebook Marketplace應(yīng)用，把這輛7000歐的山地自行車，用其中的地圖位置選擇工具設(shè)置了一個(gè)隨機(jī)地址，看看有什么反應(yīng)：

哦，看到?jīng)]，在右下角之處，有一行小而灰色的字，F(xiàn)acebook Marketplace聲稱為了保護(hù)賣家隱私，位置信息僅只是大概位置（“Location is approximate to protect the seller’s privacy”），喲，還不錯(cuò)。

好吧，退出Facebook Marketplace看看這次請(qǐng)求包中的位置數(shù)據(jù)是什么，注意此時(shí)我是一個(gè)未授權(quán)的普通用戶。在銷售頁(yè)面中，我開(kāi)啟了Chrome的瀏覽器網(wǎng)絡(luò)監(jiān)控功能，當(dāng)我點(diǎn)擊了這輛山地車的相關(guān)信息之后，可以在網(wǎng)絡(luò)數(shù)據(jù)包中看到很多關(guān)于該商品的位置信息，查看后，我發(fā)現(xiàn)是Facebook的API - facebook.com/api/graphql 在響應(yīng)時(shí)泄露了一些地理位置信息，如下：

其中竟然包含了商品發(fā)布的精確地理位置信息，有經(jīng)緯度數(shù)據(jù)、城市、國(guó)家、郵編，如下：

"location": {   "latitude": 54.9942235,   "longitude": -1.6041244,   "reverse_geocode": {         "city": "Newcastle upon Tyne",         "state": "England",         "postal_code": ""   },   "reverse_geocode_detailed": {      "city": "Newcastle upon Tyne",      "state": "England",      "postal_code": "NE2 2DS"   }}

經(jīng)緯度??？哦，足夠了！打開(kāi)谷歌地圖，輸入其中的經(jīng)緯度信息進(jìn)行查找，當(dāng)然，就發(fā)現(xiàn)了我在商品后臺(tái)設(shè)置的具體地理位置了！

由于賣家很少會(huì)去刻意偽造銷售商品的實(shí)際地理位置，而這種精確到米的地理位置和城市及郵編信息泄露，再結(jié)合交易過(guò)程涉及的賣家真實(shí)姓名，惡意攻擊者或其它別有用心者可以利用它來(lái)準(zhǔn)確確定賣家的具體住址。

這算是安全漏洞或問(wèn)題嗎？

由于賣家必須在商品發(fā)布過(guò)程中標(biāo)明確切的個(gè)人位置信息，而Facebook Marketplace又聲稱會(huì)保護(hù)用戶隱私，會(huì)做地理位置模糊化顯示給瀏覽者。就像我設(shè)置山地車的銷售位置時(shí)，拖動(dòng)地圖選擇的圓圈后，F(xiàn)acebook Marketplace表明只會(huì)顯示大概位置，當(dāng)然，很少有賣家會(huì)刻意偽造這種地理位置信息。

另外，當(dāng)我想用Facebook Marketplace提交一些具體精確的地理位置時(shí)，F(xiàn)acebook提供的位置或地址選擇項(xiàng)中根本沒(méi)有一些更準(zhǔn)確或更近的位置可以選擇，就算輸入完整郵編或地址都不行。

所以，這種就互相矛盾了，那么，這就算是一種安全問(wèn)題了。

這難道是Facebook的預(yù)期行為？

我本以為Facebook會(huì)從地圖選擇圓圈中隨機(jī)分配到其中的一個(gè)位置，或者像某些Web應(yīng)用一樣會(huì)捕捉到最近的大概位置。我也期望Facebook只顯示郵編的前三四個(gè)數(shù)字。但事實(shí)，當(dāng)Facebook采取措施防止這些信息泄露時(shí)，以上模糊化的大概位置顯示貌似是他們采取的方法。但是，現(xiàn)在當(dāng)我試圖在Facebook Marketplace添加一個(gè)銷售商品時(shí)，F(xiàn)acebook甚至?xí)プヅ呐c其位置相關(guān)的當(dāng)?shù)匾粋€(gè)公園圖片，完全說(shuō)不通。

上述就是小編為大家分享的如何獲取Facebook Marketplace賣家精確地理位置信息了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。