Les chercheurs en sécurité ont découvert un bug dangereux Facebook qui permet aux pirates et les utilisateurs malveillants de supprimer les photos des utilisateurs sans accéder à leurs comptes. La vulnérabilité a été trouvée pour faire partie de la fonction de sondage récemment mis en œuvre.
Facebook Bug peut déclencher arbitraire photo Suppression par des utilisateurs malveillants
Facebook étant l'a trouvé médias sociaux le plus important de contenir une autre faille de sécurité. Un expert de la sécurité iranienne a révélé un bogue dans le système qui permet pratiquement quiconque de supprimer une photo (ou d'un autre type d'image affiché le) de tout utilisateur Facebook sans avoir accès à leur compte. À la suite de l'enquête, le problème a été identifié dans une nouvelle fonctionnalité liée à la fonction de sondage du réseau social. Le chercheur a découvert que les programmeurs Facebook ont fait une faille dans le code qui permet aux utilisateurs malveillants de manipuler le site en supprimant le contenu affiché.
La découverte est une surprise que la fonction de sondage a été présenté plus tôt ce mois-ci à la fois sur le site de bureau et les applications mobiles. Il est utilisé par les utilisateurs de Facebook pour créer des votes et télécharger des photos ou des images GIF animées pour aller à côté des options proposées. Cette procédure tient en fait le code vulnérable qui est en fait une faille dans la mise en œuvre.
Comment fonctionne le Bug Facebook
Le principe du bug Facebook découvert est en fait assez simple. Chaque fois qu'un utilisateur crée un sondage sur le site les valeurs des champs contenant des images sont affichées en envoyant une requête GET réseau à l'emplacement de l'hôte distant. Comme d'autres composants Web chaque image est associé à un certain composant ou ID automatiquement. Le chercheur en sécurité a découvert que si l'image change l'ID exact sera exposé dans le sondage lui-même.
Facebook repose sur un lourd moteur de script complexe qui alimente du site qui permet aux utilisateurs d'exécuter des commandes sur si elles ont accès aux valeurs et autorisations nécessaires. Depuis l'ID d'image a été exposée et le site permet l'exécution de commandes le créateur de sondage peut effectivement supprimer la photo de quelqu'un sur Facebook en utilisant l'ID d'image découverte.
Des abus ne sont pas inconnus à Facebook. Dans le passé, les développeurs web et des experts de sécurité ont rapporté une technique API graphique qui permet également la suppression d'images de photos des utilisateurs Facebook sans accéder à leurs comptes directement. Les incidents et les vulnérabilités signalées mettent en valeur que si les réseaux sociaux ne cesse de croître en ajoutant de nouvelles fonctionnalités, il devrait se concentrer davantage sur le renforcement de la sécurité et l'analyse de code complet. Heureusement aucun abus n'a été signalé à ce jour.