Laxman Muthiyah è un ricercatore di sicurezza indipendente che ha recentemente trovato un bug nella funzione di sincronizzazione cellulare Facebook. La vulnerabilità sistema potrebbe dare accesso a terzi per tutte le foto private degli utenti. Grazie alla sua 'indagine bug', Facebook ha risolto il problema e lo ricompensò con $10,000.
Il Bug Sync come potenziale minaccia alla sicurezza
La vulnerabilità di sincronizzazione ha permesso qualsiasi attaccante per richiedere l'accesso a una foto privata attraverso l'uso di un app. Ottenere l'accesso a contenuti un'immagine personalizzata non è una cosa difficile da fare dal momento che la maggior parte degli utenti non leggono gli accordi rata di prodotti software.
La 'foto di sincronizzazione funzione' è attivata per impostazione predefinita in applicazione mobile di Facebook. Si sincronizza con l'account tramite una connessione con un endpoint soprannominato 'vaultimages' stabilito da una chiamata API grafico.
Il ricercatore indipendente ha scoperto che il server è stato facile da sfruttare, perché ha accettato le richieste provenienti da tutte le applicazioni concesse il permesso di vere foto dal cellulare. Ogni app sospetti in esecuzione sul dispositivo mobile in grado di leggere le immagini private. Gli ci sono voluti solo pochi minuti di test per scoprire che il problema era il vaulimages endpoint.
In altre parole, l'endpoint verificato il proprietario del token di accesso, non l'applicazione stessa.
La buona notizia è Facebook ha reagito immediatamente e ha risolto il problema in meno di un'ora.
Bug di caccia può sembrare strano, ma ha dimostrato di essere un modo efficace per fare una vita. Infatti, questa non è la prima occasione in cui Laxman Muthiyah trova e segnala le vulnerabilità di Facebook. Nel febbraio di quest'anno ha scoperto che poteva eliminare qualsiasi album di foto sul social network, utilizzando solo quattro righe di codice. L'esposizione bug gli portò una ricompensa di $12,500.