Facebook Rewards Bug Hunter $10,000, Sync Photo Sårbarhed Fast

Facebook Rewards Bug Hunter $10,000, Sync Photo Sårbarhed Fast

Laxman Muthiyah er en uafhængig sikkerhed forsker, der for nylig fundet en fejl i Facebook Mobile Sync-funktion. Systemet Sårbarheden kan give adgang til tredjeparter til alle private fotos af brugere. Takket være hans "bug undersøgelse", Facebook løst problemet og belønnet ham med $10,000.

Den Sync Bug som en potentiel sikkerhedsrisiko

Synkroniseringen sårbarhed tillod enhver angriber at anmode om adgang til en privat foto ved hjælp af en app. At få adgang til personligt indhold billede er ikke en hård ting at gøre, da de fleste brugere ikke læse rate aftaler af software produkter.

Den "Synkroniser fotografier funktionen" er aktiveret som standard i Facebooks mobilapplikation. Det synkroniserer med kontoen via en forbindelse med et endepunkt døbt 'vaultimages «oprettet ved en graf API opkald.

Den uafhængige forsker opdagede, at serveren var let at udnytte, fordi det accepterede anmodninger fra alle programmer ydes tilladelse til reelle mobile fotos. Enhver mistænkelig app kører på den mobile enhed kan læse private billeder. Det tog ham kun få minutter af test for at opdage, at spørgsmålet var vaulimages endpoint.
Med andre ord, slutpunktet kontrolleret ejeren af ​​adgang token, ikke selve ansøgningen.

Gode ​​nyheder er Facebook reagerede øjeblikkeligt og fast problemet i mindre end en time.

Bug jagt kan synes underligt, men det har vist sig at være en effektiv måde at leve. Som en kendsgerning, dette er ikke den første lejlighed, hvor Laxman Muthiyah finder og rapporterer sårbarheder til Facebook. I februar i år, han opdagede han kunne slette enhver fotoalbum på det sociale netværk, ved hjælp af kun fire linjer kode. Fejlen eksponering bragte ham en belønning af $12,500.