Независимый исследователь из Индии, характеризующий себя как «энтузиаст в области информационной безопасности, испытывающий страсть к этическому взлому», обнаружил опасную уязвимость в социальной сети Facebook. По его словам, эксплуатация бреши позволяет пользователю удалить произвольное фото без подтверждения и ведома владельца.
21-летний Арул Кумар (Arul Kumar) из Тамилнада, Индия, получил за свои усилия в поиске брешей и повышении уровня безопасности сервиса денежное вознаграждение в размере $12,5 тысяч.
Обнаруженная им уязвимость затрагивала одну из функций мобильного приложения Facebook, имеющую отношение к работе со своей учетной записью - Support Dashboard. Среди прочего с ее помощью можно одним разом удалить несколько фото из своих альбомов.
Проанализировав принцип работы приложения, Кумар выяснил, что при попытке удаления фото социальная сеть формирует специальную ссылку, переход по которой является подтверждением на запрос об удалении изображения.
Далее исследователь выяснил, что ссылка содержит идентификаторы пользователя и конкретной фотографии. Путем нехитрых манипуляций он заменил указанные автоматически параметры на данные стороннего пользователя и успешно удалил чужие снимки.
Стоит отметить, что изначально сотрудники Facebook не смогли провести аналогичную атаку и потребовали более детальной информации. Как выяснилось, Кумар воспользовался демо-версией учетной записи. В доказательство своим словам он предоставил компании видео, где он удаляет личные фото основателя компании Марка Цукерберга (Mark Zuckerberg).
Источник: SecurityLab
|