venerdì 6 settembre 2013

Scoperto bug che permetteva di cancellare qualsiasi foto da Facebook


Dopo il caso del ragazzo palestinese che qualche settimana fa aveva violato il profilo di Mark Zuckerberg, un altro bug, un errore del sistema, è stato scoperto da un altro giovane utente del social network. Si tratta di Arul Kumar, un ingegnere indiano di 21 anni che ha scoperto una vulnerabilità che permetteva di cancellare qualsiasi foto pubblicata su Facebook (sia di profili, pagine o gruppi). Questo grave problema è stato segnalato correttamente alla piattaforma che ha premiato il giovane hacker con ben 12.500 dollari.

Una cifra venticinque volte superiore alla ricompensa standard (500 dollari) offerta dal social network a chi segnala eventuali bug presenti all'interno della piattaforma. La cifra esorbitante quindi evidenzia la pericolosità del problema scoperto dal giovane hacker che si è pienamente meritato la sua ricompensa. Kumar ha inviato il video del proof of concept e ha chiaramente spiegato questo bug con l'aiuto di un account demo. La vulnerabilità scoperta da Kumar agiva grazie alla Support Dashboard mobile del social network.

Attraverso la dashboard di assistenza un utente può richiedere a Facebook la rimozione di una foto pubblicata da un altro utente. Se la richiesta viene respinta dal team di sicurezza l'utente ha la possibilità di contattare direttamente chi ha pubblicato l'immagine incriminata. Proprio in questo passaggio, Kumar ha scoperto che agendo sul codice URL della richiesta (m.facebook.com/report/id/?id="..."&__user="...") era possibile cancellare l'immagine incriminata senza il consenso dell'utente che l'ha pubblicata.

Kumar ha scoperto che cambiando i due parametri fondamentali "photo_id" e "Owners Profile_id", si aveva la facoltà di passare alla cancellazione di foto su cui non si aveva il minimo controllo. Stranamente, Kumar ha dimostrato il suo exploit sull'account di Mark Zuckerberg - la stessa cosa che aveva fatto il ricercatore palestinese. La differenza qui, però, è che Kumar non ha mai effettivamente influenzato l'account di Zuckerberg, perchè Facebook vieta ai ricercatori di testare le eventuali falle su account reali. 


Fonte: Tech Crunch

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...