セキュリティ研究者は、ハッカーや悪意のあるユーザーがアカウントにアクセスせずにユーザーの写真を削除できる危険なFacebookのバグを発見しました. この脆弱性は、新しく実装されたポーリング機能の一部であることが判明しました.
Facebookのバグは、悪意のあるユーザーによる任意の写真の削除をトリガーする可能性があります
最も重要なソーシャルメディアであるFacebookには、さらに別のセキュリティの脆弱性が含まれていることが判明しています. イランのセキュリティ専門家は、事実上誰でも写真を削除できるシステムのバグを明らかにしました (または別の種類の投稿画像) アカウントにアクセスせずにFacebookユーザーから. 調査の結果、ソーシャルネットワークのポーリング機能に関連する新機能で問題が特定されました。. 研究者は、Facebookプログラマーがコードに欠陥を作り、マルウェアユーザーがサイトを操作して投稿されたコンテンツを削除できることを発見しました。.
今月初めにデスクトップサイトとモバイルアプリケーションの両方に投票機能が導入されたため、この発見は驚きです。. Facebookのユーザーは、投票を作成し、写真やアニメーションGIF画像をアップロードして、提案されたオプションと一緒に使用します。. この手順は、実際には実装の欠陥である脆弱なコードを保持しています.
Facebookのバグのしくみ
発見されたFacebookのバグの背後にある原理は実際にはかなり単純です. ユーザーがサイトで投票を作成するたびに、画像を含むフィールド値は、ネットワークGETリクエストをリモートホストの場所に送信することによって投稿されます. 他のWebコンポーネントと同様に、すべての画像には特定のコンポーネントまたはIDが自動的に割り当てられます. セキュリティ研究者は、画像が変更された場合、正確なIDが投票自体に公開されることを発見しました.
Facebookは、サイトを強化する複雑なスクリプトエンジンに大きく依存しており、ユーザーが必要な値と権限にアクセスできる場合は、サイトでコマンドを実行できます。. 画像IDが公開され、サイトでコマンドの実行が許可されているため、投票作成者は、検出された画像IDを使用して、Facebook上の誰の写真も効果的に削除できます。.
同様の虐待はFacebookに知られていません. 過去に、Web開発者とセキュリティ専門家は、アカウントに直接アクセスせずにFacebookユーザーからの写真の画像削除も可能にするGraphAPI技術を報告しました. 報告されたインシデントと脆弱性は、ソーシャルネットワークが新しい機能を追加することによって成長し続ける一方で、より厳格なセキュリティと徹底的なコード分析にさらに焦点を当てるべきであることを示しています. 幸い、これまでのところ虐待は報告されていません.