Laxman Muthiyah é um pesquisador de segurança independente que recentemente encontrou um bug no Facebook função de sincronização móvel. A vulnerabilidade do sistema poderia dar acesso a terceiros a todas as fotos privadas de usuários. Graças a sua "investigação bug ', Facebook corrigiu o problema e recompensou-o com $10,000.
A Bug sincronização como uma ameaça potencial de segurança
A vulnerabilidade sync permitido qualquer atacante para solicitar acesso a uma foto privada através do uso de um aplicativo. Obtendo acesso ao conteúdo imagem personalizada não é uma coisa difícil de fazer, já que a maioria dos usuários não lêem os acordos de parcelamento de produtos de software.
O "Sincronizar fotos recurso" é ativado por padrão no aplicativo móvel do Facebook. Ele sincroniza com a conta através de uma conexão com um ponto final apelidado de "vaultimages 'estabelecida por uma chamada API Graph.
O pesquisador independente descobriu que o servidor foi fácil de explorar, porque aceites pedidos de todas as aplicações concedida a permissão para fotos reais móveis. Qualquer app suspeito em execução no dispositivo móvel pode ler imagens privadas. Levou apenas alguns minutos de teste para descobrir que o problema foi o ponto final vaulimages.
Em outras palavras, o desfecho verificado o proprietário do token de acesso, não o próprio aplicativo.
A boa notícia é Facebook reagiu instantaneamente e corrigiu o problema em menos de uma hora.
Caça Bug pode parecer estranho, mas provou ser uma forma eficaz para ganhar a vida. Na verdade, esta não é a primeira ocasião em que Laxman Muthiyah encontra e relata vulnerabilidades para Facebook. Em fevereiro deste ano, ele descobriu que poderia apagar qualquer álbum de fotos na rede social, usando apenas quatro linhas de código. A exposição bug trouxe-lhe uma recompensa de $12,500.