如何獲取Facebook Marketplace賣家精確地理位置信息

這期內容當中小編將會給大家帶來有關如何獲取Facebook Marketplace賣家精確地理位置信息，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

本文分享的writeup是與Facebook Marketplace銷售系統相關的用戶信息泄露漏洞，通過該漏洞可以獲取到發布商品賣家的精確到經緯度和郵編等具體地理位置信息。漏洞上報一波三折，經歷拒絕后再次被Facebook接收，以下是作者的漏洞發現分享。

Facebook Marketplace簡介

Facebook Marketplace是Facebook于2016年10月在移動端推出的一個P2P（個人對個人）的商品拍賣和交易功能，允許用戶在其上購買和銷售物品。

點擊Facebook底部的Marketplace按鈕進入，在界面中用戶可以像網絡商城那樣直接以商品名字、種類和售價等分類來搜索某商品，Facebook會自動為用戶顯示最靠近用戶身邊的Facebook賣家，并顯示該賣家的報價和商品信息。在找到心儀商品之后，用戶便可以直接用Messenger來與該賣家聯絡。而如果你是賣家，你也可以直接在Marketplace中添加商品、報價、地點等相關消息。與一般拍賣網站不同的是，其內置的地點工具可以調整中你正在查看的地區，或變更為其它城市。目前，Facebook Marketplace服務僅在某些國家開放。

發現漏洞的原因

Facebook Marketplace上線后，有些賣家會在上面銷售一些被盜商品，所以我有時會協助調查Facebook Marketplace中的一些被盜商品，在分析其相關的可追回技術可行性過程中，我發現了其中存在的一個漏洞，利用該漏洞可以發現賣家的一些敏感數據，獲取其包含經緯度的精確地理位置。

以我要賣掉的下圖這輛7000歐的山地自行車拍賣銷售頁面分析入手，經測試，我發現Facebook Marketplace中與地理位置相關的數據信息相對具體，它包含在銷售商品返回的廣告中，其相關的響應消息為JSON格式內容，而這種賣家商品的地理位置又可以通過Facebook Marketplace進行設定。

為此，我覺得有些疑惑，為什么Facebook Marketplace呈現在用戶頁面上的商品地理位置又非常簡單呢？這看來值得深究一番。

深入分析

于是，我又登錄進入Facebook Marketplace應用，把這輛7000歐的山地自行車，用其中的地圖位置選擇工具設置了一個隨機地址，看看有什么反應：

哦，看到沒，在右下角之處，有一行小而灰色的字，Facebook Marketplace聲稱為了保護賣家隱私，位置信息僅只是大概位置（“Location is approximate to protect the seller’s privacy”），喲，還不錯。

好吧，退出Facebook Marketplace看看這次請求包中的位置數據是什么，注意此時我是一個未授權的普通用戶。在銷售頁面中，我開啟了Chrome的瀏覽器網絡監控功能，當我點擊了這輛山地車的相關信息之后，可以在網絡數據包中看到很多關于該商品的位置信息，查看后，我發現是Facebook的API - facebook.com/api/graphql 在響應時泄露了一些地理位置信息，如下：

其中竟然包含了商品發布的精確地理位置信息，有經緯度數據、城市、國家、郵編，如下：

"location": {   "latitude": 54.9942235,   "longitude": -1.6041244,   "reverse_geocode": {         "city": "Newcastle upon Tyne",         "state": "England",         "postal_code": ""   },   "reverse_geocode_detailed": {      "city": "Newcastle upon Tyne",      "state": "England",      "postal_code": "NE2 2DS"   }}

經緯度??？哦，足夠了！打開谷歌地圖，輸入其中的經緯度信息進行查找，當然，就發現了我在商品后臺設置的具體地理位置了！

由于賣家很少會去刻意偽造銷售商品的實際地理位置，而這種精確到米的地理位置和城市及郵編信息泄露，再結合交易過程涉及的賣家真實姓名，惡意攻擊者或其它別有用心者可以利用它來準確確定賣家的具體住址。

這算是安全漏洞或問題嗎？

由于賣家必須在商品發布過程中標明確切的個人位置信息，而Facebook Marketplace又聲稱會保護用戶隱私，會做地理位置模糊化顯示給瀏覽者。就像我設置山地車的銷售位置時，拖動地圖選擇的圓圈后，Facebook Marketplace表明只會顯示大概位置，當然，很少有賣家會刻意偽造這種地理位置信息。

另外，當我想用Facebook Marketplace提交一些具體精確的地理位置時，Facebook提供的位置或地址選擇項中根本沒有一些更準確或更近的位置可以選擇，就算輸入完整郵編或地址都不行。

所以，這種就互相矛盾了，那么，這就算是一種安全問題了。

這難道是Facebook的預期行為？

我本以為Facebook會從地圖選擇圓圈中隨機分配到其中的一個位置，或者像某些Web應用一樣會捕捉到最近的大概位置。我也期望Facebook只顯示郵編的前三四個數字。但事實，當Facebook采取措施防止這些信息泄露時，以上模糊化的大概位置顯示貌似是他們采取的方法。但是，現在當我試圖在Facebook Marketplace添加一個銷售商品時，Facebook甚至會去抓拍與其位置相關的當地一個公園圖片，完全說不通。

上述就是小編為大家分享的如何獲取Facebook Marketplace賣家精確地理位置信息了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。