I ricercatori di sicurezza hanno scoperto un bug di Facebook pericolosa che consente agli hacker e utenti malintenzionati per eliminare le foto di utenti senza accesso ai loro conti. La vulnerabilità è stata trovata per essere parte della funzione di sondaggio recentemente implementata.
Facebook Bug può innescare arbitraria Foto Soppressione di utenti malintenzionati
Facebook essendo il più importante dei social media è stato trovato per contenere una ennesima vulnerabilità di sicurezza. Un esperto di sicurezza iraniana rivelato un bug nel sistema che permette praticamente a chiunque di eliminare una foto (o un altro tipo di Immagine inserita) da qualsiasi utente di Facebook senza bisogno l'accesso al proprio conto. Al termine dell'inchiesta il problema è stato identificato in una nuova funzionalità in relazione alla funzione sondaggio del social network. Il ricercatore ha scoperto che i programmatori di Facebook hanno fatto un difetto nel codice che permette agli utenti di malware di manipolare il sito in cancellazione del contenuto pubblicato.
La scoperta arriva come una sorpresa come la caratteristica sondaggio è stato introdotto all'inizio di questo mese sia sul sito desktop e le applicazioni mobili. E 'utilizzato dagli utenti di Facebook per creare nuovi sondaggi e caricare le foto o immagini GIF animate per andare a fianco le opzioni proposte. Questa procedura effettivamente contiene il codice vulnerabile che è in realtà un difetto nell'implementazione.
Come gli Facebook Bug Opere
Il principio alla base del bug di Facebook scoperto è in realtà piuttosto semplice. Ogni volta che un utente crea un sondaggio sul sito i valori dei campi che contengono le immagini sono pubblicate mediante l'invio di una richiesta di rete GET per la posizione host remoto. Come gli altri componenti Web ogni immagine viene assegnato un determinato componente o l'ID automaticamente. Il ricercatore di sicurezza ha scoperto che se l'immagine viene modificata l'ID esatto sarà esposto nel sondaggio per sé.
Facebook si basa pesante su un motore di script complesso che alimenta il sito che permette agli utenti di eseguire comandi su di esso se hanno accesso ai valori e le autorizzazioni necessarie. Dal momento che l'ID immagine è stata esposta e il sito permette l'esecuzione dei comandi del creatore sondaggio può eliminare efficacemente foto di chiunque su Facebook utilizzando l'ID di immagine scoperto.
Simile l'abuso non è sconosciuto a Facebook. In passato gli sviluppatori web e gli esperti di sicurezza hanno riportato una tecnica Graph API che consente anche di immagine la cancellazione di foto degli utenti di Facebook senza accedere direttamente i loro conti. Gli incidenti e le vulnerabilità segnalate vetrina che, mentre i social network continua a crescere con l'aggiunta di nuove caratteristiche che dovrebbe concentrarsi maggiormente sul rafforzamento della sicurezza e analisi del codice approfondita. Fortunatamente nessun abuso stato segnalato finora.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: