Beveiliging onderzoekers ontdekt een gevaarlijke Facebook bug waardoor hackers en kwaadwillende gebruikers om foto's van gebruikers te verwijderen, zonder toegang tot hun accounts. De kwetsbaarheid werd gevonden om een deel van de nieuw geïmplementeerde poll functie zijn.
Facebook Bug kan leiden tot willekeur verwijderen van een foto door kwaadwillende gebruikers
Facebook wordt het de belangrijkste sociale media is gevonden om een nog een beveiligingsprobleem bevatten. Een Iraanse security expert beschrijft een bug in het systeem dat praktisch kan iedereen een foto te verwijderen (of een ander type geplaatst beeld) van een Facebook-gebruiker zonder toegang tot hun account. Naar aanleiding van het onderzoek werd het geconstateerde probleem in een nieuwe functie met betrekking tot de poll functie van het sociale netwerk. De onderzoeker ontdekte dat de Facebook-programmeurs een fout in de code waarmee malware gebruikers in staat om de site te manipuleren om het verwijderen van de geposte inhoud hebben gemaakt.
De ontdekking komt als een verrassing, want de poll functie eerder deze maand zowel op de desktop site en de mobiele applicaties geïntroduceerd. Het wordt gebruikt door Facebook-gebruikers om polls maken en uploaden van foto's of geanimeerde GIF foto's om te gaan samen met de voorgestelde opties. Deze procedure eigenlijk houdt de kwetsbare code die eigenlijk een fout in de uitvoering.
Hoe de Facebook-Bug Works
Het principe achter de ontdekte Facebook bug is eigenlijk vrij eenvoudig. Iedere keer dat een gebruiker een poll op de site van de veldwaarden met beelden zijn geplaatst door het sturen van een netwerk GET-verzoek naar de afgelegen locatie gastheer. Net als andere webcomponenten elk beeld wordt een bepaald onderdeel of ID automatisch. De security-onderzoeker ontdekt dat als het beeld wordt veranderd de exacte ID zal worden blootgesteld aan de poll zelf.
Facebook steunt zwaar op een complex script engine die de bevoegdheden van de site die gebruikers toestaat om opdrachten uit te voeren op het als zij toegang hebben tot de noodzakelijke waarden en rechten hebt. Aangezien het beeld ID werd blootgesteld en de site kan uitvoeren commando's de poll maker kan effectief iemands foto op Facebook te verwijderen met behulp van de gevonden afbeelding ID.
Vergelijkbare misbruik is geen onbekende op Facebook. In het verleden web-ontwikkelaars en beveiligingsexperts rapporteerde een Graph API techniek die maakt het ook mogelijk het verwijderen van beelden van de foto's uit Facebook-gebruikers zonder dat zij rechtstreeks toegang tot hun accounts. De gemelde incidenten en kwetsbaarheden showcase dat terwijl de sociale netwerken blijft groeien door het toevoegen van nieuwe functies moet zich meer richten op betere beveiliging en grondige code analyse. Gelukkig is er geen misbruik is tot nu toe gemeld.