Pratite nas preko RSS-aRanjivosti u Facebook aplikacijama za Android koje omogućavaju preotimanje naloga [VIDEO]
Društvene mreže, 31.10.2013, 07:33 AM
![Ranjivosti u Facebook aplikacijama za Android koje omogućavaju preotimanje naloga [VIDEO]](/thumbs/v1_7375_ramadan.jpg)
Egipatski istraživač Muhamed Ramadan otkrio je ranjivosti u Facebook-ovim aplikacijama za Android zahvaljujući kojima hakeri mogu ukrasti pristupne tokene i preoteti naloge korisnika.
Jedna od ranjivosti koje je otkrio Ramadan je ona u Android verziji osnovne Facebook aplikacije i Facebook Messenger-u za Android.
Ramadan je otkrio da je napadaču dovoljno da pošalje žrtvi poruku koja sadrži bilo kakav prilog (video, dokument, sliku). Kada korisnik klikne na fajl da bi ga preuzeo, njegov access_token će biti sačuvan u Android Logcat, alatu koji imaju svi Android uređaji i koji prikuplja log poruke svih instaliranih aplikacija, što omogućava ostalim Android aplikacijama koje su instalirane na telefonu da se domognu tokena i pristupe Facebook nalogu žrtve.
“Svaki put kada koristite Facebook i Messenger aplikaciju za preuzimanje fajlova iz poruka, vaš access_token će procuriti i bilo koja aplikacija, čak i ona koja nije zlonamerna, može uzeti te tokene i preuzeti vaš Facebook nalog”, kaže Ramadan.
Za otkriće ove ranjivosti, koju je Ramadan prijavio Facebook-u pre nekoliko meseci, kompanija je nagradila istraživača sa 2500 dolara.
Druga ranjivost koju je otkrio Ramadan je ona u Facebook Pages Manager-u za Android, i slična je prvoj.
“Ranjivost koju sam pronašao u Facebook Pages Manager-u je ista kao ona druga ali da bi bila iskorišćena potrebno je da se prijavite na vaš Facebook nalog i vaš pristupni token će biti dostupan svim aplikacijama bez potrebe da preuzimate blo šta od bilo koga”, objašnjava Ramadan.
Za otkriće ove ranjivosti istraživač je nagrađen sa 3500 dolara.
Ramadan je savetovao korisnicima da ažuriraju svoje aplikacije kako bi se zaštitili od napada u kojima ranjivosti koje je on otkrio mogu biti iskorišćene.
Ramadan je objavio i video u kome je prikazao kako bi izgledao napad u kome se koristi ranjivost u aplikaciji Facebook Pages Manager.
Više tehničkih detalja o ovome možete naći na Attack-Secure.com.
Izdvojeno
„Možeš da glasaš za mene?“: nova prevara na X-u
Nova talas prevara širi se na X-u (bivši Twitter), gde korisnici prijavljuju sumnjive direktne poruke koje dolaze od naloga koje poznaju ili prate. ... Dalje
Meta upozorava: lažni WhatsApp instalira špijunski softver
Korisnici WhatsApp-a ponovo su meta špijunskog softvera, ali ovoga puta napad ne koristi tehničke ranjivosti već lažnu verziju aplikacije. Prema n... Dalje
Šta LinkedIn zna o vama: platforma optužena za praćenje 6.000 ekstenzija pregledača
LinkedIn se suočava sa ozbiljnim optužbama nakon objave izveštaja BrowserGatea, koji tvrdi da platforma prati hiljade ekstenzija pregledača instal... Dalje
Reddit uvodi verifikaciju korisnika: borba protiv botova bez narušavanja anonimnosti
Direktor kompanije Reddit, Stiv Hafman, obratio se korisnicima nakon reakcija na najave o mogućem uvođenju provere identiteta korisnika. U novoj por... Dalje
TikTok Business nalozi na meti fišing prevare koja zaobilazi 2FA
TikTok Business nalozi našli su se na meti nove fišing prevare koja koristi „protivnik u sredini“ (adversary-in-the-middle, AiTM) tehnik... Dalje
Pratite nas
Nagrade
Prijatelji
