Laxman جایزه گرفت / کشف سومین روش نفوذ به فیس بوک

2015-08-31_212519

کشف جدید Laxman Muthiyah حقه ای است که کنترل کامل صفحه فیس بوک شما را به دیگران می دهد.  Laxman هندوستانی برای بار سوم در امسال توانست اشکال امنیتی را در شبکه‌ی اجتماعی فیس‌بوک بیابد. ...

کشف جدید Laxman Muthiyah حقه ای است که کنترل کامل صفحه فیس بوک شما را به دیگران می دهد.  Laxman هندوستانی برای بار سوم در امسال توانست اشکال امنیتی را در شبکه‌ی اجتماعی فیس‌بوک بیابد.

Laxman جایزه گرفت / کشف سومین روش نفوذ به فیس بوک

به گزارش خبر اینترفر ؛ در آغاز امسال، Laxman یک اشکال جدی در گراف‌های فیس‌بوک را کشف کرد که به او اجازه می‌داد آلبوم‌های عکس سایر کابران در فیس‌بوک را، بدون تصدیق هویت، دیده و یا حتی حذف کند.

پس از فقط یک ماه، Laxman آسیب‌پذیری دیگری را در این شبکه‌ی اجتماعی کشف کرد که در ویژگی همگام‌سازی عکس فیس‌بوک بود. این ویژگی به طور خودکارعکس‌ها را از گوشی تلفن همراهتان به آلبوم شخصی فیس‌بوک بارگذاری می‌کند؛ آلبومی که برای هیچ‌یک از دوستانتان و سایر کاربران فیس‌بوک قابل مشاهده ‌نیست. اما آسیب‌پذیری که Laxman آن را پیدا کرده‌ است به هر برنامه‌ی شخص ثالثی اجازه می‌داد به عکس‌های آلبوم همگام‌سازی که به صورت شخصی هستند دسترسی داشته باشد.

آخرین اشکال کشف‌شده توسط Laxman‌ نیز به حمله‌کنندگان امکان می‌دهد کنترل کامل صفحه‌ی فیس‌بوکتان را به دست بگیرند.

2015-08-31_212905این‌بار Laxman مشکلی را در ارتباط با صفحات تجاری فیس‌بوک یافته ‌است که مختص یک حساب کاربری نبوده بلکه معمولاً توسط چند کاربر اداره شده و نشان‌گر کسب و کار خاصی هستند.

Laxman‌ نشان‌ داده‌ است با استفاده از این اشکال می‌تواند به برنامه‌های شخص ثالث اجازه دهد با شرایط محدود کنترل کامل صفحه‌ی فیس‌بوک آن کسب و کار را به دست گیرد، مثلا به طور موقت دسترسی مدیریتی را به صفحه قطع کند.

برنامه‌های شخص سوم در فیس‌بوک قادرند انواع و اقسام کارها را از جمله ارسال status به جای شما و انتشار عکس‌ها را انجام دهند، اما فیس‌بوک به آن‌ها اجازه نمی‌دهد قوانین مدیریتی صفحات را تغییر دهند.

فیس‌بوک به مدیر یک صفحه اجازه می‌دهد نقش‌های متفاوتی را ازطریق تنظیم manage_pages به افراد مختلف اختصاص دهند. براساس گفته‌ی Laxman یک حمله‌کننده می‌تواند به ‌آسانی و با استفاده از مجموعه‌ای از درخواست‌ها خود را به جای مدیر صفحه جا بزند.

نمونه‌ی درخواستی که نفوذگر می‌تواند از آن استفاده کند در زیر آمده ‌است:

2015-08-31_212556که در آن PGID متعلق به تجارت B است، و یک نفر می‌تواند درخواست manage_page را بفرستد تا کاربرX به عنوان MANAGER (دسترسی مدیر صفحه را اختصاص می‌دهد) صفحه شناخته شود.

این بدان معنی است که تغییر کوچکی در پارامترهای درخواست می‌تواند به نفوذگر امکان دهد کنترل کامل صفحه فیس‌بوکتان را به دست گیرد.

Laxman‌ هم‌چنین ویدئویی را از نحوه‌ی انجام این حمله به اشتراک گذاشته ‌است.

Laxman اشکال موجود را به تیم امنیتی فیس‌بوک گزارش داد و توانست تحت برنامه‌ی اعطای جایزه در قبال کشف آسیب‌پذیری فیس‌بوک، جایزه‌ی ۲۵۰۰ دلاری را از آن‌ها دریافت کند.

اگرچه این اشکال هم‌اکنون از طرف این شبکه‌ی اجتماعی برطرف شده است، اما شما باید همواره مراقب دسترسی‌هایی که به برنامه‌های شخص ثالث می‌دهید باشید.

::خبر اینترفر

5/ 0.00

افتضاحبدخوبعالیبی نظیر
(0 رای)

مطلب مفیدی بود؟

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.