Ο Mohamed Ramadan, ένας ερευνητής ασφαλείας από την Attack Secure, εντόπισε δύο τρωτά σημεία σε εφαρμογές του Facebook για Android.
Ένα από τα θέματα ευπάθειας επηρεάζει τις εκδόσεις των εφαρμογών Facebook και Facebook Messenger πάντα για Android. Το κενό ασφαλείας επιτρέπει στους hackers να κλέψουν τα token πρόσβασης και μέσω αυτών να αποκτήσουν πρόσβαση στους λογαριασμούς.
Σύμφωνα με το Ramadan , ο εισβολέας πρέπει απλά στέλνει ένα μήνυμα στο θύμα που περιέχει ένα συνημμένο – ή σύνδεσμο οποιουδήποτε τύπου, βίντεο , έγγραφο ή και φωτογραφίες.
Όταν ο χρήστης κατεβάζει το συνημμένο αρχείο , το Facebook access_token εγγράφεται στο logcat Android , που είναι το σύστημα καταγραφής Android (logs) που παρέχει ένα μηχανισμό για τον εντοπισμό σφαλμάτων του συστήματος .
Αυτό σημαίνει ότι οποιαδήποτε Android εφαρμογή που έχετε εγκαταστήσει στο smartphone σας μπορεί να αποκτήσει το διακριτικό πρόσβασης σας , και εμμέσως τον λογαριασμό σας στο Facebook.
“Κάθε φορά που χρησιμοποιείτε την εφαρμογή Facebook ή το Facebook Messenger app να κατεβάσετε αρχεία από τα μηνύματα, το access_token σας θα διαρρεύσει και οποιαδήποτε εφαρμογή, ακόμη και οι μη κακόβουλες , μπορούν να πάρουν αυτά τα tokens και να παραβιάσουν τον λογαριασμό σας στο Facebook” ανέφερε ο ερευνητής .
Για αυτή την ευπάθεια , ο ερευνητής πήρε από το Facebook σαν ανταμοιβή τια το εύρημα του 2500 δολάρια.
Η δεύτερη ευπάθεια που ανακάλυψε, επηρεάζει την εφαρμογή Facebook Manager καθώς και την εφαρμογή Pages για Android. Η ευπάθεια είναι παρόμοια με την πρώτη.
Για να αποδείξει την ύπαρξη της ευπάθειας στις εφαρμογές ο Ramadan έκανε μια επίδειξη και την κατέγραψε σε βίντεο .