Bug avcısı Laxman Muthiyah, özel fotoğrafları açığa çıkaran ve potansiyel olarak kötü amaçlı kullanılabilecek bir Facebook açığı bulduğunu açıkladı.
Hacker, Facebook Photo Sync ve bir API üzerinde bulunan ve üçüncü parti uygulamaların özel fotoğrafları çekmesine olanak tanıyan bu açığı bildirerek Menlo Park'tan 10.000 dolar ödül aldı.
Muthiyah, iOS ve Android uygulamalarının bir user_photos izni bulundurduğunu ve yama öncesinde fotoğrafların kurbanın telefonunda bulunmaları durumunda ele geçirilebildiğini söylemekte. Muthiyah'nın söylediğine göre, kötü amaçlı bir yazılım, telefonunuzdaki tüm özel fotoğrafları saniyeler içerisinde okuyabilmekte. "Birkaç dakika test ettikten sonra, vaultimages son noktasının zayıf olduğunu (açığın bulunduğunu) fark ettim... Bu sadece erişim izninin sahibini kontrol ediyor ve istekte bulunan uygulamayı kontrol etmiyor, yani user_photos izni bulunan bütün uygulamalar mobil fotoğraflarınıza erişim izni kazanmış oluyor."
Vaultimages, Facebook Graph API içerisinde bulunuyor ve cihazlarla sosyal medya sitesi arasındaki senkronizasyon işlemini kontrol ediyor.
Muthiyah, Facebook uygulamasının /vaultimages'a en üst seviye erişim iznini kullanarak GET isteklerinde bulunduğunu ve bu izin ile onaylanmış bir şekilde fotoğrafları okuyabildiğini buldu. Ancak Facebook, bu isteği hangi uygulamanın yaptığını kontrol etmemekteydi.
Saldırganların, genellikle etkili olan sosyal mühendislik hileleri ile kullanıcıların bir uygulama tarafından istenen izinleri önemsememelerine sebep olmaları ve uygulama için gerekli izni almaları gerekmekteydi ancak bunun çok zor bir şey olmadığı, daha önce de kanıtlanmış bir durum.
Facebook, Muthiyah'ın açıklamasına oldukça hızlı bir şekilde cevap vererek, resmi uygulamaları beyaz listeye aldı ve sorunu 30 dakika içerisinde çözdü.
Bu açık, Muthiyah'ın Facebook'a bu yıl içerisinde bildirdiği ikinci açık oluyor. Geçtiğimiz ay hacker, Facebook Graph API ve mobil izin ile siteden fotoğraf albümlerini silme imkanı veren bir yöntem bulmuş ve bu yöntemi sessizce bildirerek 12.500 dolar ödül almıştı...