Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu

Društvene mreže, 16.06.2021, 09:00 AM

Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu

U Facebookovoj funkciji Messenger Rooms otkriven je bag koji omogućava napadaču da pristupi svim privatnim fotografijama i video snimcima, kao i drugim osetljivim podacima sačuvanim na zaključanom telefonu.

Kao što se vidi na video snimku koji je kao dokaz koncepta dostavljen Facebooku zajedno sa izveštajem o ranjivosti, Facebook nalog bi mogao biti preuzet pozivom u Messenger Room. Iako je potreban fizički pristup žrtvinom uređaju, napad se mogao izvesti bez otključavanja telefona ili tableta. Ovo otkriće donelo je nepalskom istraživaču Samipu Arialu nagradu od 3.000 američkih dolara.

Otkriće Ariala podstaknuto je sličnim bagom Messengera koji je isti istraživač otkrio u oktobru 2020. godine. Tada je Arial otkrio da je mogao da vidi privatne sačuvane video snimke žrtve, video snimke koje je gledala i video snimke koje je delila bez otključavanja telefona tokom Messenger razgovora putem funkcije “Watch Together”.

Bag, koji je takođe mogao da iskoristi samo napadač sa fizičkim pristupom zaključanom Android pametnom telefonu, je uklonjen a Facebook je ispravio još nekoliko sličnih bagova tako da sada traži da se telefon otključa pre korišćenja tako osetljivih funkcija sa zaključanog Android telefona.

Arial kaže da je odlučio da primeni isti pristup hakovanja na funkciju Messenger Rooms poziva i otkrio je da se funkcija ćaskanja može aktivirati tokom razgovora bez otključavanja Android pametnog telefona ili tableta žrtve.

Arial je koristio dva test Facebook naloga. Na jednom je bio prijavljen na Android telefonu i taj nalog je igrao ulogu žrtve, a na drugom je bio prijavljen na računaru i to je bio nalog napadača. Android telefon je bio zaključan. On je sa naloga napadača kreirao sobu i pozvao nalog žrtve da se pridruži. Zatim je pozvao nalog žrtve iz odeljka “Pozvani korisnici”. Posle nekoliko sekundi, telefon, čiji je ekran bio zaključan, počeo je da zvoni. Arial je odgovorio na poziv sa telefona i isprobao sve ranije poznate osetljive funkcije, ali za sve te funkcije, telefon je morao najpre biti otključan da bi mogle da se koriste.

Do napretka je došlo kada je istraživač primetio opciju u gornjem desnom uglu ekrana za ćaskanje učesnika u sobi.

„Otkrio sam da mogu da pristupim svim privatnim fotografijama/video snimcima na tom uređaju čak i bez otključavanja telefona“, kao i da objavljujem priče na Facebook profilu žrtve prijavljene na nalog klikom na opciju „uredi“ za bilo koji medij“, objasnio je on.

Prema rečima Ariala, Facebookov tim za bezbednost objavio je u roku od jednog dana od njegove prijave hitnu ispravku za ranjivost na strani klijenta, kao i na strani servera, da bi je popravio i u ranijim ranjivim verzijama.

Iznos nagrade bilo je dobrodošlo iznenađenje, rekao je nepalski istraživač, jer je scenario napada zahtevao fizički pristup žrtvinom uređaju, iako se primarna barijera za autentifikaciju uređaja pokazala neefikasnom u ovom slučaju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Instagram testira novi metod verifikacije starosti korisnika skeniranjem lica

Instagram testira novi metod verifikacije starosti korisnika skeniranjem lica

Instagram testira nove opcije za verifikaciju starosti korisnika, uključujući AI alat koji je razvila kompanija Yoti, koji procenjuje koliko imate ... Dalje

Twitter se javno izvinio korisnicima zbog zloupotrebe njihovih podataka

Twitter se javno izvinio korisnicima zbog zloupotrebe njihovih podataka

Twitter je u sredu objavio izvinjenje zbog toga što je bez znanja i saglasnosti korisnika koristio podatke o bezbednosti naloga za ciljano oglašavan... Dalje

Otkrivena velika fišing kampanja na Facebooku, napadači za nekoliko meseci zaradili milione dolara

Otkrivena velika fišing kampanja na Facebooku, napadači za nekoliko meseci zaradili milione dolara

Istraživači iz američke firme za sajber-bezbednost PIXM, sa sedištem u Njujorku, otkrili su veliku fišing operaciju koja je zloupotrebljavala Fac... Dalje

LinkedIn otkriva sve više prevara, lažnih profila i spama na platformi

LinkedIn otkriva sve više prevara, lažnih profila i spama na platformi

LinkedIn otkriva i blokira sve više lažnih naloga, zahvaljujući poboljšanjima u svojim automatizovanim sistemima, ali poboljšanja su primetna i ... Dalje

Meta promenila Politiku privatnosti za Facebook, Instagram i Messenger

Meta promenila Politiku privatnosti za Facebook, Instagram i Messenger

U nastojanju da Politiku privatnosti, ranije poznatu kao Politika podataka, učini manje komplikovanom, Meta je ponovo napisala i praktično redizajni... Dalje