Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Društvene mreže, 20.03.2015, 07:59 AM

Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Ako vam je na iPhoneu ili Androidu uključena opcija Facebook Photo Sync, možda ćete je isključiti pošto pročitate ovu vest - u Facebook Photo Sync je otkriven ozbiljan propust koji ugrožava privatne fotografije miliona korisnika.

Facebook Photo Sync je je opcija koju nudi Facebookova mobilna aplikacija, koja je uvedena krajem 2012. i koja kada je uključena svaku fotografiju koja je napravljena iPhone ili Android uređajem automatski sinhronizuje sa Facebook nalogom korisnika.

U tom slučaju fotografije se sa uređaja automatski otpremaju u privatni Facebook album koji nije vidljiv ni prijateljima korisnika Facebooka niti drugim korisnicima Facebooka. U slučaju da korisnik želi da podeli neke fotografije na svom profilu ili da ih pošalje kao poruku prijatelju on to može uraditi direktno iz albuma.

Većina korisnika Facebooka verovatno nikad nije uključila ovu opciju, ali nema sumnje da ima i onih drugih kojima se mogućnost automatskog otpremanja svake fotografije u navodno privatni Facebook album čini privlačnom. Osim toga, ova opcija je na nekim mobilnim uređajima uključena po defaultu.

Lovac na bagove, Laxman Muthiyah, otkrio je kritični propust u Facebook Photo Sync koji može omogućiti bilo kojoj third-party aplikaciji pristup privatnim fotografijama iz skrivenog albuma Facebook Photo Sync.

Facebook mobilna aplikacija podnosi GET zahtev https://graph.facebook.com/me/vaultimages sa top level pristupnim tokenom da bi pročitala sinhronizovane fotografije. Facebook server proverava pristupni token i dozvoljava aplikaciji da pročita sinhronizovane fotografije. Problem je što se tako proverava samo vlasnik pristupnog tokena ali ne i aplikacija koja šalje zahtev. Tako je praktično moguće da svaka aplikacija sa user_photos dozvolom čita privatne fotografije korisnika. Veliki broj aplikacija koristi user_photos dozvolu da bi mogle da čitaju korisnikove javne fotografije. Međutim, maliciozne aplikacije bi propust mogle iskoristiti za pristup privatnim fotografijama korisnika.

U teoriji, pristup privatnom foto albumu trebalo bi da ima samo Facebookova zvanična aplikacija, ali ovaj propust omogućava svim aplikacijama da dobiju dozvolu za pristup privatnim fotografijama korisnika Facebooka.

Laxman je poznat po tome što je otkrio propust u Facebook Graph API mehanizmu koji omogućava brisanje bilo kog albuma na Facebooku, bez obzira da li album pripada nekom korisniku, stranici ili grupi.

Laxman je i sada prijavio propust Facebooku, koji je ispravio propust u roku od pola sata i nagradio ga sa 10000 dolara. Ipak, korisnici Facebooka koji imaju uključenu opciju Facebook Photo Sync treba da razmisle o tome da je isključe, za svaki slučaj.

Ako to žele da urade, treba da odu u meni mobilne aplikacije i da u Account > App Settings > Sync Photos odaberu “Don't sync my photos”.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima

TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima

Italijanska regulatorno telo za zaštitu konkurencije kaznilo je TikTok sa 10 miliona evra jer nije zaštitio korisnike od opasne igre poznate kao Fre... Dalje

Investicione prevare u reklamama na Facebooku

Investicione prevare u reklamama na Facebooku

Istraživači sajber bezbednosti iz firme Infoblox upozorili su korisnike na grupu Savvy Seahorse koja koristi Facebook reklame da bi prevarila korisn... Dalje

Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija

Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija

Zvanični nalog Metjua Perija na X-u (nekadašnji Twitter) je hakovan, a oni koji su to uradili zatražili su donacije od obožavalaca pokojnog glumca... Dalje

Od zabave do gubitka podataka: Mračna strana Facebook kvizova

Od zabave do gubitka podataka: Mračna strana Facebook kvizova

Sećate li se svih onih naizgled bezazlenih kvizova na društvenim mrežama? Iako su mnogima zabavni, oni su zapravo ozbiljan rizik za privatnost i b... Dalje

Evropska komisija pokreće istragu o TikToku zbog kršenja zakona EU o zaštiti i privatnosti dece

Evropska komisija pokreće istragu o TikToku zbog kršenja zakona EU o zaštiti i privatnosti dece

Evropska komisija otvorila je istragu o TikToku zbog sumnje da krši pravila Evropske unije o zaštiti dece, transparentnosti oglašavanja, pristupa p... Dalje