Laxman Muthiyah geçenlerde Facebook mobil senkronizasyon işlevinde bir hata buldum bağımsız bir güvenlik araştırmacısı. Sistem güvenlik açığı kullanıcılarının tüm özel fotoğraflara üçüncü tarafların erişimini verebilir. Onun ‘böcek soruşturması’ sayesinde, Facebook sorunu sabit ve onu ödüllendirdi $10,000.
Bir Potansiyel Güvenlik Tehdidi olarak Senkronizasyon Hata
senkron açığı bir uygulamanın kullanımı yoluyla özel fotoğrafa erişimi istemek için herhangi saldırganı izin. Kişiselleştirilmiş görüntü içeriğine erişim elde etmek çoğu kullanıcı yazılım ürünlerinin taksit anlaşmaları okumaz beri yapmak zor bir şey değildir.
‘Senkronizasyon fotoğraflar özelliği’ Facebook'un mobil uygulamasında varsayılan olarak etkindir. Bu adlı bir bitiş noktası olan bir bağlantı üzerinden hesapla eşitler ‘vaultimages’ bir Graph API çağrısı ile kurulan.
Bağımsız araştırmacı tüm uygulamalardan istekleri gerçek mobil fotoğraf izni kabul çünkü sunucu yararlanmaya kolay olduğunu keşfetti. mobil cihaz üzerinde çalışan herhangi bir şüpheli uygulaması özel görüntüleri okuyabilir. Bu konu vaulimages son nokta olduğunu keşfetmek için ona test sadece birkaç dakika sürdü.
Başka bir deyişle, uç nokta erişim belirteci sahibini kontrol, değil uygulamanın kendisi.
İyi haberler Facebook bir saatten az bir süre içinde anında tepki ve sorun giderilmiştir olduğunu.
Hata avcılık çok tuhaf gelebilir, ama geçinmek için etkili bir yol olduğu kanıtlanmıştır. Doğrusu, Laxman Muthiyah bulur ve Facebook'a açıklarını bildirdiğinde bu ilk günlerinde değil. Bu yılın Şubat ayında o sosyal ağ üzerindeki herhangi bir fotoğraf albümü silebilir keşfetti, kod sadece dört çizgiler kullanılarak. böcek poz ona bir ödül getirdi $12,500.