Ismét egy súlyos Facebook hibára derült fény

A Facebook kapcsán ismét egy súlyos biztonsági hibáról hullt le a lepel, amely kommentek jogosulatlan törlését tehette lehetővé, méghozzá tömegesen.
 

A múlt héten gyorsan bejárta a világsajtót annak a biztonsági résnek a híre, amely képek jogosulatlan törlésére adott lehetőséget. A Laxman Muthiyah szakember által feltárt sebezhetőséget a Facebook nagyon gyorsan javította, és egyben 12.500 dolláros jutalomban részesítette a felfedezőt. A sérülékenység a Graph API kapcsán merült fel, amely kis trükközéssel rávehető volt arra, hogy bárki olyan képeket töröljön, amelyeket - a láthatósági beállítások alapján - meg tudott tekinteni a közösségépítőn. Vagyis tulajdonképpen az összes publikus album, fénykép veszélyben volt a Facebookon.
 
Úgy tűnik, hogy erre a hétre is jutott egy Facebook sebezhetőségről szóló hír. A 19 éves Joe Balhis, aki a mindennapokban a német Vulnerability Lab kötelékében dolgozik, - talán éppen a múlt heti hírverés láttán - elhatározta, hogy nyilvánosságra hozza az eddigi legérdekesebb felfedezését. Balhis elmondta, hogy még tavaly egy olyan sérülékenységet leplezett le a Facebook kapcsán, amely pofon egyszerű módszerekkel kommentek jogosulatlan törlését tette lehetővé.
 
Így lehetett törölgetni

A német fiatalember beszámolója szerint a hozzászólások törlését egy egyszerű like-olással kellett kezdeni. Ekkor egy erre alkalmas kis segédprogrammal el lehetett kapni a Facebook felé irányuló adatforgalmat, amiből kinyerhető volt két azonosító (comment_id, legacy_id). Ezek birtokában pedig össze lehetett állítani egy olyan hálózati kérést, amelyben a két azonosító ezúttal már nem like-oláshoz kapcsolódott, hanem a törlés műveletéhez. A Facebook pedig e hálózati kéréseket szó nélkül fogadta, és kellő ellenőrzés hiányában végre is hajtotta a kommentek törlését.

 
A problémát jelentősen súlyosbította, hogy a sérülékenység tömegesen is kihasználható lett volna, hiszen az említett lépéseket korántsem lett volna nehéz automatizálni, és sorban lekérdezni, illetve végigpróbálgatni a hozzászólásokhoz tartozó egyedi azonosítókat. "Amikor véletlenszerűen beírtam egy azonosítót, és az létező kommenthez tartozott, akkor a hozzászólás végleg törlődött" - mondta Balhis. Majd hozzátette, hogy az is jelentősen növelte kockázatokat, hogy a végfelhasználóknak esélyük sem lett volna védekezni egy ilyen jellegű támadás ellen. Oly annyira nem, hogy hiába védték a bejegyzéseiket, illetve azokkal együtt a kommenteket az adatvédelmi beállításokkal, a támadók akkor is tudták volna törölni a hozzászólásokat, ha éppen nem szerepeltek az adott profilhoz tartozó ismerősök listáján.
 
A Balhis-féle sebezhetőséget a Facebook 2014-ben befoltozta, így az most már semmiféle veszélyt nem jelent. A fiatal etikus hacker a felfedezéséért cserébe - és persze azért, hogy azt az erre a célra kialakított felületen keresztül jelezte – 12.500 dollár jutalmat kapott a Facebooktól.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség