Sicherheitsforscher entdeckten einen gefährlichen Facebook Fehler, den Hacker und böswillige Benutzer können Fotos von Benutzern löschen, ohne dass ihre Konten zugreifen. Die Sicherheitslücke wurde gefunden, Teil der neu implementierten Umfrage-Funktion zu sein.
Facebook Bug kann beliebig Photo Löschen auslösen böswillige Benutzer
Facebook ist die wichtigste Social Media ist eine noch eine weitere Sicherheitslücke enthalten gefunden. Ein iranischer Sicherheitsexperte offenbarte einen Fehler in dem System, das praktisch jedermann erlaubt, ein Foto zu löschen (oder eine andere Art von geposteten Bild) von jedem Facebook-Nutzer ohne Zugang zu ihrem Konto benötigen. Im Anschluss an der Untersuchung wurde das Problem in einer neuen Funktion auf die Umfrage-Funktion des sozialen Netzwerks im Zusammenhang identifiziert. Die Forscher entdeckten, dass der Facebook-Programmierer einen Fehler im Code gemacht hat, die Malware-Benutzer ermöglicht, die Website zu manipulieren, dass die entsandte Löschen von Inhalten.
Die Entdeckung ist überraschend, wie die Umfrage-Funktion in diesem Monat eingeführt wurde früher sowohl auf dem Desktop-Website und den mobilen Anwendungen. Es wird von Facebook-Nutzern genutzt Umfragen zu erstellen und Fotos oder animierte GIF-Bilder laden neben den vorgeschlagenen Optionen zu gehen. Dieses Verfahren hält tatsächlich den anfälligen Code, der tatsächlich ein Fehler in der Implementierung.
Wie die Facebook Bug Works
Das Prinzip hinter dem entdeckt Facebook Bug ist eigentlich ziemlich einfach. Jedes Mal, erzeugt ein Benutzer eine Umfrage auf der Website der Wert Feldbilder enthalten, durch das Senden eine Netzwerk-GET-Anforderung an den Remote-Host-Standort gebucht werden. Wie andere Web-Komponenten wird jedes Bild eine bestimmte Komponente oder ID automatisch zugewiesen. Der Sicherheitsforscher fanden heraus, dass, wenn das Bild geändert wird, die genaue ID wird sich in der Umfrage ausgesetzt werden.
Facebook stützt sich schwer auf einem komplexen Skript-Engine, die die Website, die Benutzer Befehle auf, um sie auszuführen erlaubt, wenn sie Zugriff auf die erforderlichen Werte haben und Berechtigungen. Da die Bild ID wurde ausgesetzt und die Website ermöglicht es Befehle Ausführung der Umfrage Schöpfer effektiv kann mithilfe der entdeckten Bild ID niemandes Foto auf Facebook löscht.
Ähnlicher Missbrauch ist nicht unbekannt Facebook. In der Vergangenheit Web-Entwickler und Sicherheitsexperten berichteten über eine Technik Graph API, die auch Bild Löschen von Fotos von Facebook-Nutzern ermöglicht, ohne ihre Konten direkt zugreifen. Die gemeldeten Vorfälle und Schwachstellen zeigen, dass, während die sozialen Netzwerke durch das Hinzufügen neuer Funktionen weiter wachsen sollte es mehr auf eine höhere Sicherheit und gründliche Code-Analyse konzentrieren. Zum Glück wurde bisher kein Missbrauch gemeldet.