18 530
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/N5191/facebook_hacker.jpg
Kattints ide  ➜

Bárki letörölhette volna minden Facebook‑felhasználó összes fotóját

Kovács Donát2015.02.13. 23.16
/ContentUploads/N5191/facebook_hacker.jpgFebruár 12-én egy Laxman Muthiyah nevű biztonsági szakértő a címben említett, kis volumenűnek egyáltalán nem mondható feladaton dolgozott, természetesen a Facebook biztonságosabbá tétele miatt. Itt már rengeteg kérdés felmerül: Miért? Hogyan? Milyen sikerrel?

Kezdjük a miérttel! A válasz nagyon egyszerű, hiszen Laxman csak arra volt kíváncsi, hogy különböző hibákat és biztonsági hiányosságokat kihasználva képes lenne-e törölni publikus Facebook fotóit anélkül, hogy erre jogosultsága lenne. Számos módszerrel próbálkozott, mígnem az egyik sikerült neki, ráadásul nem is kicsit… de vegyük sorra ezeket a próbálkozásokat!



Arra már az elején rájött, hogy a Facebook Graph API-ra van szüksége, ami a fejlesztők elsődleges eszköze a felhasználók adatainak olvasására és írására. Az API használatához szükségünk van egy úgynevezett tokenre, hogy aztán olvashassuk és írhassuk a már említett adatokat. Ez a módszer rendre nem járt sikerrel, mert az oldal visszadobta a hacker próbálkozásait jogosultság hiányában.

Első körben az volt az elképzelése, hogy törli az egyik fénykép albumát az úgynevezett graph explorer acces token használatával.

Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=CAACEdEose0cBAABAXPPuULhNCsYZA2cgSbajNEV99ZCHXoNPvp6LqgHmTNYvuNt3e5DD4wZA1eAMflPMCAGKVlaDbJQXPZAWqd3vkaAy9VvQnxyECVD0DYOpWm3we0X3lp6ZB0hlaSDSkbcilmKYLAzQ6ql1ChyViTiSH1ZBvrjZAH3RQoova87KKsGJT3adTVZBaDSIZAYxRzCNtAC0SZCMzKAyCfXXy4RMUZD

Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OauthException","code":200}}


Ebből a hibaüzenetből megtudjuk, hogy az alkalmazás nem képes a fénykép albumok törlésére.

Ekkor jött Lauxmannak a nagy ötlet, hogy kipróbálja a mobil acces tokent is, hiszen mindenkinek ott van az albumtörlés lehetőség a telefonos Facebook alkalmazásban. Ezek után az eredeti Facebook Graph API-t használta a mobil tokennel, hozzáadott egy album azonosítót, és Burp Suite-ban lefuttatta a parancsot. A válasz már-már sikernek volt elkönyvelhető.

Request :-
DELETE /518171421550249 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=

Response :-
true


Az album törlése sikerrel járt. A következő lépés már az volt, hogy kipróbálja, működik-e a törlési kérelem az áldozat albumán is – természetesen erre való jogosultságok nélkül.

Request :-
DELETE /797892656974511 HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=

Response :-
true


Ezek után már tényleg nem lett volna más dolga, csak automatizálni a folyamatot ahhoz, hogy törölje minden Facebook-felhasználó összes fotóalbumát, hiszen az albumok egy egyszerű számmal vannak azonosítva az URL-ben. Szerencsénkre erre a hibára egy jó szándékú hacker jött rá, aki a helytelen célokra való felhasználás helyett, inkább jelentette a hibát a Facebook biztonsági szakemberei felé, akik a hibát 2 órán belül javították és köszönő levelekben reagáltak Lauxman észrevételére.

A levelek tartalma többek között egy bizonyos pénz jutalom is volt, ami 12 500 dollárról szólt, ez megközelítőleg 3,3 millió forintnak felel meg.

Forrás: 7xter
Kattints ide  ➜

A Google nyilvánosságra hozta a Windows súlyos sebezhetőségét
Újabb fotók szivárogtak ki a Samsung Galaxy S8‑ról
Alto's Odyssey ‑ Jön az Adventure folytatása
Itt a Honor 360 fokos kamerája
Felkapott témák
Brutálisan magas áron érkezhet a Samsung Galaxy S8
Trump egy Samsung Galaxy S3-mal veszélyezteti az egész világ biztonságát
Az Apple lett az első – 0,3 százalékon a Windows Mobile
Kiderült, hogy mi lesz az Android 8.0 neve
PC-t varázsol a telefonunkból a Remix Singularity
Már megint átszabják a Facebook appot
Állásajánlatok
Junior üzletfejlesztési menedzser
Rendszerüzemeltető
Anyagmérnök
Regular Test Engineer - Budapest
Karakterizáló mérnök Trainee
Marketing és PR munkatárs
Rendszerüzemeltető