Laxman Muthiyah är en oberoende säkerhetsforskare som nyligen hittat en bugg i Facebook Mobile Sync-funktionen. Systemet sårbarhet kan ge tillgång till tredje part för alla privata bilder av användare. Tack vare sin ’bug undersökning’, Facebook åtgärdat problemet och belönade honom med $10,000.
Sync Bug som en potentiell Security Threat
Synk sårbarhet får någon angripare att begära att få tillgång till en privat foto med hjälp av en app. Att få tillgång till personlig bildinnehåll är inte en svår sak att göra eftersom de flesta användare inte läser avbetalning avtal programvaruprodukter.
Den ’Synkronisera bilder funktion’ är aktiverad som standard i Facebooks mobila applikation. Det synkroniserar med kontot via en anslutning med en slutpunkt kallas ’vaultimages’ fastställts av en graf API-anrop.
Den oberoende forskare upptäckt att servern var lätt att utnyttja, eftersom det accepterade förfrågningar från alla program som beviljats tillstånd till verkliga mobila foton. Alla misstänkta app som körs på den mobila enheten kan läsa privata bilder. Det tog honom bara några minuter av tester för att upptäcka att frågan var vaulimages endpoint.
Med andra ord, slutpunkten kontrolleras ägaren av åtkomsttoken, inte själva ansökan.
Goda nyheter är Facebook reagerade omedelbart och åtgärdat problemet i mindre än en timme.
Bug jakt kan verka konstigt, men det har visat sig vara ett effektivt sätt att försörja sig. ETT FAKTUM, Detta är inte första gången när Laxman Muthiyah hittar och rapporterar sårbarheter till Facebook. I februari i år upptäckte han att han kunde ta bort fotoalbum på det sociala nätverket, med användning av endast fyra rader kod. Felet exponeringen gav honom en belöning på $12,500.