Ευπάθεια στο Facebook εξακολουθεί να υπάρχει 10 μήνες μετά

Facebook-Bug-

Ένα ασφάλειας που αναφέρθηκε στο Facebook στις αρχές του έτους και επιτρέπει σε έναν εισβολέα να δημοσιεύσει στο Τimeline κάποιου άλλου, χωρίς άδεια, εξακολουθεί να υπάρχει δέκα μήνες μετά.

Πέρυσι, ο ερευνητής Vivek Bansal γνωστοποίησε την ευπάθεια στην ομάδα ασφάλειας του Facebook, παρουσιάζοντας πως access tokens για  mobile apps, μπορούν να χρησιμοποιηθούν, για να δημοσιεύσει κάποιος στο Τimeline τρίτων χωρίς απαραίτητη άδεια. (Να σημειωθεί ότι μια δεν μπορεί να “δημοσιεύσει” κείμενο ή συνδέσμους στο Τimeline ενός χρήστη χωρίς την “απαιτούμενη άδεια από τον κάτοχο του λογαριασμού”)

Η ευπάθεια εξακολουθεί να υπάρχει δέκα μήνες μετά (Video)

Για να υποδείξει αυτό το σφάλμα στο Facebook, ο Bansal, έλαβε αμοιβή 2.000 δολαρίων και συμπεριλήφθηκε στο Hall of Fame των ερευνητών, που εντόπισαν σοβαρά προβλήματα στους μηχανισμούς ασφάλειας, της πλατφόρμας κοινωνικής δικτύωσης. Ωστόσο, φαίνεται ότι η ευπάθεια είτε επανήλθε μέσα τροποποιήσεις στον , ή κάποιος ξέχασε να την επιδιορθώσει – Με την πρώτη εκδοχή να είναι η επικρατέστερη.
Πρόσφατα, ο Bansal ακολούθησε το ίδιο σενάριο που χρησιμοποίησε για την αρχική επίδειξη του bug και παρατήρησε ότι όλα λειτουργούσαν σαν να μην είχε γίνει καμία . Ένα που αναρτήθηκε στο YouTube (δείτε παρακάτω) την περασμένη Τρίτη έδειξε ότι η ευπάθεια ήταν ακόμη ενεργή.  Όταν Bansal ερωτήθηκε αν δοκίμασε το σενάριο σε μια πιο πρόσφατη ημερομηνία, προκειμένου να εξακριβώσει εάν εξακολουθεί να να υπάρχει η ευπάθεια, εκείνος απάντησε λέγοντας ότι η πιο πρόσφατη δοκιμή που έκανε ήταν τη Δευτέρα, και η βλάβη ήταν ακόμα παρούσα.

Είναι δύσκολο να πιστέψει κανείς ότι το Facebook κατέβαλε αμοιβή στον ερευνητή , και οι τεχνικοί του ξέχασαν να επιδιορθώσουν την ευπάθεια – αν και δεν είναι αδύνατο να συμβεί κάτι τέτοιο.Το πιο πιθανό σενάριο όμως, είναι, ότι ξέχασαν να επανεξετάσουν το patch σε μεταγενέστερο χρόνο. Η  θεωρία αυτή ενισχύεται, από το γεγονός ότι Bansal έλαβε ένα email από το Facebook στην αρχή του έτους, πληροφορώντας τον ότι η ευπάθεια είχε επιδιορθωθεί και ήταν ελεύθερος να δημοσιεύσει τα ευρήματά του. Δείτε την πρόσφατη επίδειξη του bug:

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).