Facebook Rewards Bug Hunter $10,000, Sync photo vulnérabilité fixe

Facebook Rewards Bug Hunter $10,000, Sync photo vulnérabilité fixe

Laxman Muthiyah est un chercheur en sécurité indépendant qui a récemment trouvé un bogue dans la fonction de synchronisation mobile de Facebook. La vulnérabilité du système pourrait donner accès à des tierces parties pour toutes les photos privées des utilisateurs. Merci à son «enquête de bug ', Facebook a fixé le problème et a récompensé avec $10,000.

The Bug Sync comme une menace potentielle pour la sécurité

La vulnérabilité synchronisation permettait à tout attaquant de demander l'accès à une photo privée grâce à l'utilisation d'une application. Obtenir l'accès au contenu d'image personnalisée ne est pas une chose difficile à faire puisque la plupart des utilisateurs ne lisent pas les accords à tempérament de produits logiciels.

Le 'synchroniser des photos option' est activée par défaut dans l'application mobile de Facebook. Il se synchronise avec le compte par le biais d'une connexion avec un point d'extrémité surnommé «vaultimages» établi par un appel d'API Graph.

Le chercheur indépendant a découvert que le serveur était facile à exploiter parce qu'il a accepté les demandes de toutes les applications bénéficient de l'autorisation de vraies photos mobiles. Toute application suspecte se exécutant sur l'appareil mobile pouvait lire des photos privées. Il lui a fallu que quelques minutes d'essai pour découvrir que la question était les vaulimages Endpoint.
En d'autres termes, le point d'extrémité vérifier le propriétaire du jeton d'accès, pas l'application elle-même.

Les bonnes nouvelles sont Facebook a réagi instantanément et a réglé le problème en moins d'une heure.

chasse Bug peut sembler bizarre, mais il se est avéré être un moyen efficace de faire une vie. En réalité, ce ne est pas la première occasion où Laxman Muthiyah trouve et rapporte vulnérabilités à Facebook. En Février de cette année, il a découvert qu'il pourrait supprimer ne importe quel album photo sur le réseau social, en utilisant seulement quatre lignes de code. L'exposition de bug lui apporta une récompense de $12,500.