Laxman Muthiyah er en uavhengig sikkerhetsforsker som nylig har funnet en feil i Facebook mobil sync-funksjonen. Sårbar system kunne gi tilgang til tredjeparter til alle private bilder av brukere. Takket være hans "bug etterforskning ', Facebook løst problemet, og belønnet ham med $10,000.
Den Sync Bug som en potensiell sikkerhetstrussel
Sårbar sync tillatt noen angriper å be om tilgang til et privat bilde gjennom bruk av en app. Å få tilgang til personlig bildeinnhold er ikke en vanskelig ting å gjøre siden de fleste brukere ikke leser terminavtaler programvareprodukter.
The 'synkroniserings bilder funksjonen' er aktivert som standard i Facebooks mobilapplikasjon. Den synkroniserer med kontoen gjennom en forbindelse med et endepunkt kalt 'vaultimages' etablert av en graf API-kall.
Den uavhengige forskeren oppdaget at serveren var lett å utnytte fordi det akseptert forespørsler fra alle søknader innvilget tillatelse til reelle mobilbilder. Mistenkelig app som kjører på den mobile enheten kan lese private bilder. Det tok ham bare noen få minutter av testing for å oppdage at problemet var vaulimages endepunkt.
Med andre ord, endepunkt sjekket eieren av tilgangssymbolet, ikke selve programmet.
Gode nyheter er Facebook reagerte umiddelbart og løst problemet i mindre enn en time.
Insektjakt kan virke rart, men det har vist seg å være en effektiv måte å lage en levende. Som et spørsmål om faktum, Dette er ikke første anledning når Laxman Muthiyah finner og rapporterer sikkerhetsproblemer til Facebook. I februar oppdaget han at han kunne slette fotoalbum på det sosiale nettverket i år, ved hjelp av bare fire linjer med kode. Feilen eksponering førte ham en belønning på $12,500.