Laxman Muthiyah ist eine unabhängige Sicherheitsforscher, die vor kurzem einen Fehler in Facebook Handy-Sync-Funktion gefunden. Das System Schwachstelle Zugang zu Drittparteien aller Privatfotos von Benutzern geben könnten. Dank seiner "Bug Untersuchung", Facebook das Problem behoben und belohnte ihn mit $10,000.
Die Sync-Bug als ein potenzielles Sicherheitsrisiko
Die Sync-Schwachstelle erlaubt keine Angreifer Zugang zu einem privaten Foto durch den Einsatz einer App anfordern. Wie Sie Zugang zu personalisierten Bildinhalt ist nicht schwer, es zu tun, da die meisten Benutzer nicht die Ratenvereinbarungen von Software-Produkten zu lesen.
Die "Sync Fotos Merkmal" ist standardmäßig in Facebooks mobile Anwendung aktiviert. Es synchronisiert mit dem Konto über eine Verbindung mit einem Endpunkt genannt "vaultimages 'durch eine Grafik-API-Aufruf festgelegt.
Die unabhängige Forscher entdeckt, dass der Server war leicht zu nutzen, weil sie akzeptiert Anforderungen von allen Anwendungen erteilt die Erlaubnis, echte Handyfotos. Jede verdächtige App auf dem mobilen Gerät laufen konnte privaten Bilder lesen. Es dauerte nur wenige Minuten von Tests, um zu entdecken, dass das Thema die vaulimages Endpunkt.
Mit anderen Worten, der Endpunkt überprüft den Besitzer der Zugriffstoken, nicht die Anwendung selbst.
Eine gute Nachricht ist Facebook reagierte sofort und regelte das Problem in weniger als einer Stunde.
Fehlersuche kann seltsam scheinen, aber es hat sich als ein wirksames Mittel, um ihren Lebensunterhalt sein. In der Tat, das ist nicht das erste Mal, als Laxman Muthiyah findet und meldet Sicherheitslücken zu Facebook. Im Februar dieses Jahres entdeckte er, er könne jede Fotoalbum auf dem sozialen Netzwerk zu löschen, Verwendung von nur vier Zeilen Code. Der Fehler Exposition führte ihn eine Belohnung von $12,500.