Újabb súlyos Facebook hibára derült fény

A Facebook kapcsán ismét egy súlyos biztonsági hibáról hullt le a lepel, amely kommentek jogosulatlan törlését tehette lehetővé, méghozzá tömegesen.

A múlt héten gyorsan bejárta a világsajtót annak a biztonsági résnek a híre, amely képek jogosulatlan törlésére adott lehetőséget. A Laxman Muthiyah szakember által feltárt sebezhetőséget a Facebook nagyon gyorsan javította, és egyben 12.500 dolláros jutalomban részesítette a felfedezőt. A sérülékenység a Graph API kapcsán merült fel, amely kis trükközéssel rávehető volt arra, hogy bárki olyan képeket töröljön, amelyeket - a láthatósági beállítások alapján - meg tudott tekinteni a közösségépítőn. Vagyis tulajdonképpen az összes publikus album, fénykép veszélyben volt a Facebookon.

Úgy tűnik, hogy erre a hétre is jutott egy Facebook sebezhetőségről szóló hír. A 19 éves Joe Balhis, aki a mindennapokban a német Vulnerability Lab kötelékében dolgozik, - talán éppen a múlt heti hírverés láttán - elhatározta, hogy nyilvánosságra hozza az eddigi legérdekesebb felfedezését. Balhis elmondta, hogy még tavaly egy olyan sérülékenységet leplezett le a Facebook kapcsán, amely pofon egyszerű módszerekkel kommentek jogosulatlan törlését tette lehetővé.

A német fiatalember beszámolója szerint a hozzászólások törlését egy egyszerű like-olással kellett kezdeni. Ekkor egy erre alkalmas kis segédprogrammal el lehetett kapni a Facebook felé irányuló adatforgalmat, amiből kinyerhető volt két azonosító (comment_id, legacy_id). Ezek birtokában pedig össze lehetett állítani egy olyan hálózati kérést, amelyben a két azonosító ezúttal már nem like-oláshoz kapcsolódott, hanem a törlés műveletéhez. A Facebook pedig e hálózati kéréseket szó nélkül fogadta, és kellő ellenőrzés hiányában végre is hajtotta a kommentek törlését.

A problémát jelentősen súlyosbította, hogy a sérülékenység tömegesen is kihasználható lett volna, hiszen az említett lépéseket korántsem lett volna nehéz automatizálni, és sorban lekérdezni, illetve végigpróbálgatni a hozzászólásokhoz tartozó egyedi azonosítókat.

A Balhis-féle sebezhetőséget a Facebook 2014-ben befoltozta, így az most már semmiféle veszélyt nem jelent. A fiatal etikus hacker a felfedezéséért cserébe - és persze azért, hogy azt az erre a célra kialakított felületen keresztül jelezte – 12.500 dollár jutalmat kapott a Facebooktól.

Kapcsolódók

Kimaradt?