Laxman Muthiyah is een onafhankelijke security-onderzoeker die onlangs vond een bug in Facebook Mobile Sync-functie. De kwetsbaarheid van het systeem kan de toegang aan derden te geven aan alle privé foto's van gebruikers. Dankzij zijn 'bug onderzoek', Facebook loste het probleem en beloonde hem met $10,000.
De Sync Bug als een potentiële Security Threat
De sync kwetsbaarheid toegestaan dat een aanvaller toegang tot een eigen foto te vragen door het gebruik van een app. Het krijgen van toegang tot gepersonaliseerde content afbeelding is niet een moeilijk ding om te doen, omdat de meeste gebruikers niet de aflevering overeenkomsten van software producten te lezen.
De 'sync foto functie' is standaard ingeschakeld in de mobiele applicatie van Facebook. Het synchroniseert met de rekening via een verbinding met een eindpunt bijnaam 'vaultimages' opgericht door een Graph API-oproep.
De onafhankelijke onderzoeker ontdekte dat de server was gemakkelijk te exploiteren omdat het geaccepteerd verzoeken van alle toepassingen verleende toestemming om echte mobiele foto's. Elke verdachte app draait op het mobiele apparaat kan private beelden gelezen. Het kostte hem slechts enkele minuten van het testen om te ontdekken dat het probleem was de vaulimages eindpunt.
Met andere woorden, het eindpunt controleerde de eigenaar van het access token, niet de applicatie zelf.
Goed nieuws is Facebook reageerde onmiddellijk en loste het probleem in minder dan een uur.
Bug jacht lijkt misschien raar, maar het heeft zich bewezen als een effectieve manier om het leven te maken zijn. Eigenlijk, Dit is niet de eerste keer dat Laxman Muthiyah vindt en meldt kwetsbaarheden aan Facebook. In februari van dit jaar ontdekte hij dat hij kon geen foto-album op het sociale netwerk verwijderen, met slechts vier regels code. De bug blootstelling bracht hem een beloning van $12,500.