Mohamed Ramadan, az Attack Secure alkalmazottja két komoly biztonsági hibát talált a Facebook androidos alkalmazásaiban (Messenger, Pages Manager). A jelezett hibákat a Facebook kijavította és Ramadant 6000 dolláros jutalomban részesítették.
Az első hibának köszönhetően más alkalmazás is elérte az adott felhasználó hozzáférési tokenjét, így egy támadó átvehette az irányítást a fiók fölött. A másik alkalmazásnál is hasonló volt a hiba. Ramadan blogjában leírja, hogy roppant egyszerűen ki lehetett volna használni a sebezhetőségeket: az androidos készüléken tevékenykedő felhasználó kap egy üzenetet (ismerőstől vagy bárkitől), és amikor az abban talált csatolmányt megnyitja, azzal megosztja a rendszerben található összes alkalmazással a tokent is, és innentől, már meg is szerezhetik mások a hozzáférést.
Nincsenek megjegyzések:
Megjegyzés küldése