Nicola Moretti – Hanicker IT Blog

Una volta registrati a Facebook la privacy dei nostri dati è messa a dura prova. Il rischio maggiore è sicuramente il temuto upgrade di sistema che, di tanto in tanto, viene attuato dai tecnici dell’azienda di Palo Alto. Molto spesso questo vuol dire che le impostazioni relative alla privacy che abbiamo configurato poco tempo fa non sono piu valide ed è tutto da risistemare il prima possibile.

Uno strumento appena nato ma molto efficace per controllare velocemente se le impostazioni del nostro profilo sono “buone” è ReclaimPrivacy.

Il funzionamento è molto semplice:

una volta visitato il sito http://www.reclaimprivacy.org/ è sufficiente aggiungere ai nostri segnalibri il link indicato dalla scritta Scan for Privacy.

A questo punto ci basterà accedere alla home page di facebook e quindi premere sul link per ricevere un report globale ed eventualmente alcuni suggerimenti efficaci su come migliorare determinate impostazioni.

Avendo a disposizione anche il codice sorgente di questo script possiamo verificarne facilmente la sua affidabilità: i dati che andrà a verificare non verranno comunicati a nessuno.

Cercando un modo per scaricare album (pubblici) interi da Flickr ci si imbatte in varie soluzioni: Fotobounce, Flickrdown, script vari per greasemonkey, ecc.

La maggior parte ha problemi nel funzionamento o richiede il login a Flickr/Yahoo. Tra l’altro sono quasi tutti pacchetti distribuiti unicamente per windows. Su un forum italiano, però, ho trovato uno script Java distribuito come sorgente senza licenza ed in modo anonimo, e per quanto non abbia un minimo di documentazione è facile da comprendere ed utilizzare.
In particolare simula molto bene il comportamento di un utente standard.

L’installazione da terminale è semplice (avendo già la jdk per compilare sorgenti java):

javac FlickrAlbumDownload.java
mkdir download

Per eseguirlo, infine, scriviamo:

java FlickrAlbumDownload URLPRIMAFOTOALBUM

dove URLPRIMAFOTOALBUM è l’indirizzo nella barra di indirizzo del browser quando visualizzate la prima foto di un album, cioé, ad esempio, http://www.flickr.com/photos/vol-au-vent/4173806173/in/set-72157594339553045/

In realtà potete prendere anche una determinata foto e verranno scaricate le successive (utile nel caso lo script si blocchi).

Non posso essere ritenuto responsabile per qualsiasi uso scorretto o illegale delle informazioni contenute in questa pagina.

Per il download del sorgente:
http://www.megaupload.com/?d=HVQISRPV
http://depositfiles.com/files/p6op8qbv1
http://filefactory.com/file/b0edh9h/n/FlickrAlbumDownload_java_zip
http://www.easy-share.com/1909695461/FlickrAlbumDownload.java.zip

Try compiling this form with a wifi MAC Address and press Enter (iframe):

The source code is:

#!/usr/bin/python
# Copyright (C) 2010 Kees Cook 
# License: GPLv3
# Find location of a MAC address via Google Location Services
# http://code.google.com/p/gears/wiki/GeolocationAPI
import cgi
import sys, urllib2
import simplejson
import pprint

form = cgi.FieldStorage()
if not form:
    print "Content-type: text/html"
    print ""
    print ""
    print "Enter MAC address to locate:



"
    print 'source'
    print ""
    sys.exit(0)

#try:
if True:
    loc_req = { 'version': '1.1.0',
                'request_address': True,
                'address_language': 'en',
                'wifi_towers': [] }
    bssid = form['mac'].value
    loc_req['wifi_towers'] += [{ 'mac_address': bssid.replace(':','-'),
                                 'signal_strength': 1 } ]

    data = simplejson.JSONEncoder().encode(loc_req)

    output = urllib2.urlopen('https://www.google.com/loc/json', data).read()
    output = simplejson.loads(output)

    print "Content-type: text/plain"
    print ""
    pprint.pprint(output)
    if output['location']['accuracy'] >= 22000:
        print "# N.B. Accuracy of 22000 or higher seems to indicate unknown location..."
else:
    print "Content-type: text/html"
    print ""
    print ""
    print "Sorry, something went wrong"
    print ""

Think at the possibility for somebody to bruteforce Google DB and retrieve these infos.

Starting from http://standards.ieee.org/regauth/oui/oui.txt, for example, i can try 16^6 mac addresses starting from 00-18-84 to get info about FON hotspots and achieve locations in a day or less.

I think this is not illegal as this is what my GPhone actually does. PS: I have not checked against any bruteforce prevention.

Thanks to Kees Cook.