Nepalski stručnjak za računrsku bezbednost Samip Aryal, prijatno se iznenadio kad je od Facebook-a dobio nagradu u visini od 3.000 dolara za video u kojem je najvećoj društvenoj mreži pružio dokaz koncepta o bezbednosnoj ranjivosti u Facebook-ovoj video chat značajki Messenger Rooms.
Aryal je otkrio način da pristupom malicioznim računom u chat u Messenger Rooms-u i pozivom u sekciji Invited Users može da targetuje telefon korisnika čiji ekran je zaključan i kroz nekoliko sekundi ga naterati da zazvoni. Nakon isprobavanje nekih značajki poput "watch together", "add people" i drugih otkrio je da ih ne može koristiti bez otključavanja telefona.
Nakon toga je proučavao opciju u desnom gornjem uglu ekrana poziva kako bi chatovao s drugim učesmicima, nakon čega je došao u mogućnost pristupa privatnim fotografijama i video zapisima na uređaju bez otključavanja telefona, kao i mogućnost slanja postova klikom na "edit" opciju.
Aryal kaže da je Facebook zbog njegovog otkrića vrlo brzo implementirao "hotfix" na strani klijenta i servera servisa unutar jednog dana.
Iznos nagrade je za njega bio, kako kaže, "dobrodošlo iznenađenje", budući da je scenario napada zahtevao fizički pristup žrtvinom uređaju, iako se primarna autentifikaciona barijera uređaja pokazala neefikasnom u ovom slučaju.
Pristup Facebook podacima bez otključavanja telefona
10:06
nema komentara
Postavi komentar
Vaš komentar: