Így lehet 10 ezer dollárt keresni a Facebookkal

A Facebook nemrégen bemutatott szavazós funkciójába egy súlyos hiba csúszott. A sebezhetőség felfedezője tízezer dollárral gazdagodott.
 
hirdetés
A Facebook november elején jelentette be azt a lehetőséget, amelynek segítségével a felhasználók szavazás formájában tudakolhatják meg az ismerőseik véleményét. E funkció képek és GIF-állományok beszúrására is lehetőség ad. Ezáltal a felhasználók az idővonalaikon, bejegyzéseikben két válaszlehetőséget szavaztathatnak meg.


Forrás: Pouya Darabi
 
Amint az új funkció elérhetővé vált a közösségi oldalon, Pouya Darabi kutató azonnal belevetette magát az újdonság alapos biztonsági elemzésébe. Nem is kellett sok idő ahhoz, hogy egy veszélyes sérülékenységre derítsen fényt. Először azt vette észre, hogy amikor egy szavazást létrehoz, akkor a háttérben elküldött hálózati kérés manipulálásával tulajdonképpen bárkinek, bármelyik fényképet be tudja szúrni a Facebookról a szavazásba. Vagyis abba nem kizárólag a saját maga által feltöltött képeket tudta beilleszteni.


A manipulálható képazonosítók egy hálózati kérésben
Forrás: Pouya Darabi
 
A problémák ezzel még nem értek véget, sőt még csak ekkor kezdődtek a gondok. A szakember ugyanis úgy határozott, hogy a manipulált módon létrehozott szavazását törli az idővonaláról. Ekkor pedig nem mást vett észre, mint hogy a szavazást tartalmazó bejegyzésével együtt az a kép is törlődött, amelyet korábban beillesztett. Mindez mit jelent? Azt, hogy egy manipulált szavazás létrehozásával, majd eltávolításával bármilyen fénykép törölhető volt a Facebookról. Ehhez egy potenciális támadónak csak az adott kép azonosítóját kellett tudnia, és egyszerű eszközökkel elérhette (volna) a kiszemelt fényképek törlését.
 
Szerencsére a biztonsági hibára Darabi személyében egy etikus hacker figyelt fel, aki a Facebook előírásainak megfelelően jelezte és kezelte azt. Ennek köszönhetően 10 ezer dolláros jutalomban részesült. A szakember november 3-án jelentette a sérülékenységet, amelyre egy napon belül egy átmeneti hibajavítást adott ki a Facebook. November 5-én pedig a végleges javítást is megkapta a közösségi oldal.
 
Volt már ilyen
 
A Facebook esetében nem ez volt az első ilyen jellegű sérülékenység. Korábban kommentek és videók kapcsán is felmerültek már hasonló biztonsági hibák. Egyebek mellett Darabi is részesült már jutalomban az elmúlt években. 2015-ben 15 ezer, míg egy év múlva 7500 dollárt kasszírozott két facebookos sebezhetőség kimutatásával. (A Facebook az etikus hackereket jutalmazó programjának keretében 2011 óta több mint 5 millió dollárt fizetett ki a biztonsági kutatók számára.)
Vélemények
 
  1. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  2. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

  3. 4

    A Microsoft a Malware Protection Engine esetében egy veszélyes sérülékenységet orvosolt.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1