Facebook'un önemli bir açığını buldu!
Facebook'ta ortaya çıkan yeni açık, fotoğraflarınızı tamamen savunmasız bırakabiliyormuş!
Bug avcısı Laxman Muthiyah, özel fotoğrafları açığa çıkaran ve potansiyel olarak kötü amaçlı kullanılabilecek bir Facebook açığı bulduğunu açıkladı.
Hacker, Facebook Photo Sync ve bir API üzerinde bulunan ve üçüncü parti uygulamaların özel fotoğrafları çekmesine olanak tanıyan bu açığı bildirerek Menlo Park'tan 10.000 dolar ödül aldı.
Muthiyah, iOS ve Android uygulamalarının bir user_photos izni bulundurduğunu ve yama öncesinde fotoğrafların kurbanın telefonunda bulunmaları durumunda ele geçirilebildiğini söylemekte. Muthiyah'nın söylediğine göre, kötü amaçlı bir yazılım, telefonunuzdaki tüm özel fotoğrafları saniyeler içerisinde okuyabilmekte. "Birkaç dakika test ettikten sonra, vaultimages son noktasının zayıf olduğunu (açığın bulunduğunu) fark ettim... Bu sadece erişim izninin sahibini kontrol ediyor ve istekte bulunan uygulamayı kontrol etmiyor, yani user_photos izni bulunan bütün uygulamalar mobil fotoğraflarınıza erişim izni kazanmış oluyor."
Boeing'ten çılgın patent: Star Wars tipi güç kalkanı
Vaultimages, Facebook Graph API içerisinde bulunuyor ve cihazlarla sosyal medya sitesi arasındaki senkronizasyon işlemini kontrol ediyor.
Muthiyah, Facebook uygulamasının /vaultimages'a en üst seviye erişim iznini kullanarak GET isteklerinde bulunduğunu ve bu izin ile onaylanmış bir şekilde fotoğrafları okuyabildiğini buldu. Ancak Facebook, bu isteği hangi uygulamanın yaptığını kontrol etmemekteydi.
Saldırganların, genellikle etkili olan sosyal mühendislik hileleri ile kullanıcıların bir uygulama tarafından istenen izinleri önemsememelerine sebep olmaları ve uygulama için gerekli izni almaları gerekmekteydi ancak bunun çok zor bir şey olmadığı, daha önce de kanıtlanmış bir durum.
Facebook, Muthiyah'ın açıklamasına oldukça hızlı bir şekilde cevap vererek, resmi uygulamaları beyaz listeye aldı ve sorunu 30 dakika içerisinde çözdü.
Bu açık, Muthiyah'ın Facebook'a bu yıl içerisinde bildirdiği ikinci açık oluyor. Geçtiğimiz ay hacker, Facebook Graph API ve mobil izin ile siteden fotoğraf albümlerini silme imkanı veren bir yöntem bulmuş ve bu yöntemi sessizce bildirerek 12.500 dolar ödül almıştı...
Beyaz Show'da piston aşağı indi!
SON DAKİKA
EN ÇOK OKUNANLAR
TikTok Türkiye’de yasaklanacak mı, kapatılacak mı? TikTok yasaklanan ülkeler!
Threads, Türkiye'de kullanıma kapatıldı mı, neden?
Instagram DM (mesaj) görüldü kapatma nasıl yapılır? Instagram DM okundu bilgisi kapatma özelliği adımları!
2000’li yılların gizemli profiliydi... ‘Ayça_22’ 15 yıl sonra ortaya çıktı!
Whatsapp'ta mesaj başına para ödeme dönemi başladı