Ευπάθεια στο Facebook εξακολουθεί να υπάρχει 10 μήνες μετά

Facebook-Bug-

Ένα ς που αναφέρθηκε στο Facebook στις αρχές του έτους και επιτρέπει σε έναν εισβολέα να δημοσιεύσει σχόλια στο Τimeline κάποιου άλλου, χωρίς άδεια, εξακολουθεί να υπάρχει δέκα μήνες μετά.

Πέρυσι, ο ερευνητής Vivek Bansal γνωστοποίησε την ευπάθεια στην ομάδα ασφάλειας του Facebook, παρουσιάζοντας πως tokens για  mobile , μπορούν να χρησιμοποιηθούν, για να δημοσιεύσει κάποιος στο Τimeline τρίτων χωρίς απαραίτητη άδεια. (Να σημειωθεί ότι μια εφαρμογή δεν μπορεί να “δημοσιεύσει” κείμενο ή συνδέσμους στο Τimeline ενός χρήστη χωρίς την “απαιτούμενη άδεια από τον κάτοχο του λογαριασμού”)

Η ευπάθεια εξακολουθεί να υπάρχει δέκα μήνες μετά (Video)

Για να υποδείξει αυτό το σφάλμα στο Facebook, ο Bansal, έλαβε αμοιβή 2.000 δολαρίων και συμπεριλήφθηκε στο Hall of Fame των ερευνητών, που εντόπισαν σοβαρά προβλήματα στους μηχανισμούς ασφάλειας, της πλατφόρμας κοινωνικής δικτύωσης. Ωστόσο, φαίνεται ότι η ευπάθεια είτε επανήλθε μέσα τροποποιήσεις στον κώδικα, ή κάποιος ξέχασε να την επιδιορθώσει – Με την πρώτη εκδοχή να είναι η επικρατέστερη.
Πρόσφατα, ο Bansal ακολούθησε το ίδιο σενάριο που χρησιμοποίησε για την αρχική επίδειξη του bug και παρατήρησε ότι όλα λειτουργούσαν σαν να μην είχε γίνει καμία . Ένα βίντεο που αναρτήθηκε στο YouTube (δείτε παρακάτω) την περασμένη Τρίτη έδειξε ότι η ευπάθεια ήταν ακόμη ενεργή.  Όταν Bansal ερωτήθηκε αν δοκίμασε το σενάριο σε μια πιο πρόσφατη ημερομηνία, προκειμένου να εξακριβώσει εάν εξακολουθεί να να υπάρχει η ευπάθεια, εκείνος απάντησε λέγοντας ότι η πιο πρόσφατη δοκιμή που έκανε ήταν τη Δευτέρα, και η βλάβη ήταν ακόμα παρούσα.

Είναι δύσκολο να πιστέψει κανείς ότι το Facebook κατέβαλε αμοιβή στον ερευνητή , και οι τεχνικοί του ξέχασαν να επιδιορθώσουν την ευπάθεια – αν και δεν είναι αδύνατο να συμβεί κάτι τέτοιο.Το πιο πιθανό σενάριο όμως, είναι, ότι ξέχασαν να επανεξετάσουν το patch σε μεταγενέστερο χρόνο. Η  θεωρία αυτή ενισχύεται, από το γεγονός ότι Bansal έλαβε ένα email από το Facebook στην αρχή του έτους, πληροφορώντας τον ότι η ευπάθεια είχε επιδιορθωθεί και ήταν ελεύθερος να δημοσιεύσει τα ευρήματά του. Δείτε την πρόσφατη επίδειξη του bug:

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















spread the news

Share on Reddit

accessappsbugfacebookmobile

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).