Laxman Muthiyah הוא חוקר אבטחה עצמאית שמצא לאחרונה באג פונקצית סינכרון נייד פייסבוק. הפגיעות במערכת יכול לתת גישה-צדדים שלישיים כל התמונות הפרטיות של משתמשים. בזכות "חקירת באג" שלו, פייסבוק תקן את הבעיה גמל לו $10,000.
באג Sync כאיום ביטחוני פוטנציאלי
פגיעות סינכרון מותרות בכל תוקף לבקש גישה לצילום פרטי באמצעות אפליקציה. גישה להגיע לתוכן תמונה אישית היא לא דבר קשה לעשות מאז רוב המשתמשים אינם קוראים את ההסכמים בתשלומים של מוצרי תוכנה.
זה את תכונת תמונות סנכרון 'מופעלת כברירת מחדל ביישום הנייד של פייסבוק. הוא מסתנכרן עם החשבון באמצעות חיבור עם נקודת סיום המכונה "vaultimages" הוקם על ידי שיחת API גרף.
החוקר העצמאי גילה כי השרת היה קל לנצל משום שהוא קבל בקשות מכל היישומים העניקו רשות תמונות מניידות אמיתיות. כל אפליקציה חשודה הפועלת במכשיר הנייד יכולה לקרוא תמונות פרטיות. זה לקח לו דקות של בדיקה בלבד מעטים לגלות כי הנושא היה vaulimages נקודות קצה.
במילים אחרות, הקצה בדק את הבעלים של אסימון הגישה, לא היישום עצמו.
חדשות טובות היא פייסבוק הגיבה מייד תקנה את הבעיה בתוך פחות משעה.
ציד באג אולי נראה מוזר, אבל זה הוכיח את עצמו להיות דרך יעילה להתפרנס. למעשה, זו אינה הפעם הראשונה כאשר Laxman Muthiyah מוצא ומדווח פגיעויות אל פייסבוק. בחודש פברואר השנה הוא גילה שהוא יכול למחוק כל אלבום תמונות ברשת החברתית, באמצעות רק ארבע שורות של קוד. חשיפת באג הביאה לו שכר של $12,500.