Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu

Društvene mreže, 16.06.2021, 09:00 AM

Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu

U Facebookovoj funkciji Messenger Rooms otkriven je bag koji omogućava napadaču da pristupi svim privatnim fotografijama i video snimcima, kao i drugim osetljivim podacima sačuvanim na zaključanom telefonu.

Kao što se vidi na video snimku koji je kao dokaz koncepta dostavljen Facebooku zajedno sa izveštajem o ranjivosti, Facebook nalog bi mogao biti preuzet pozivom u Messenger Room. Iako je potreban fizički pristup žrtvinom uređaju, napad se mogao izvesti bez otključavanja telefona ili tableta. Ovo otkriće donelo je nepalskom istraživaču Samipu Arialu nagradu od 3.000 američkih dolara.

Otkriće Ariala podstaknuto je sličnim bagom Messengera koji je isti istraživač otkrio u oktobru 2020. godine. Tada je Arial otkrio da je mogao da vidi privatne sačuvane video snimke žrtve, video snimke koje je gledala i video snimke koje je delila bez otključavanja telefona tokom Messenger razgovora putem funkcije “Watch Together”.

Bag, koji je takođe mogao da iskoristi samo napadač sa fizičkim pristupom zaključanom Android pametnom telefonu, je uklonjen a Facebook je ispravio još nekoliko sličnih bagova tako da sada traži da se telefon otključa pre korišćenja tako osetljivih funkcija sa zaključanog Android telefona.

Arial kaže da je odlučio da primeni isti pristup hakovanja na funkciju Messenger Rooms poziva i otkrio je da se funkcija ćaskanja može aktivirati tokom razgovora bez otključavanja Android pametnog telefona ili tableta žrtve.

Arial je koristio dva test Facebook naloga. Na jednom je bio prijavljen na Android telefonu i taj nalog je igrao ulogu žrtve, a na drugom je bio prijavljen na računaru i to je bio nalog napadača. Android telefon je bio zaključan. On je sa naloga napadača kreirao sobu i pozvao nalog žrtve da se pridruži. Zatim je pozvao nalog žrtve iz odeljka “Pozvani korisnici”. Posle nekoliko sekundi, telefon, čiji je ekran bio zaključan, počeo je da zvoni. Arial je odgovorio na poziv sa telefona i isprobao sve ranije poznate osetljive funkcije, ali za sve te funkcije, telefon je morao najpre biti otključan da bi mogle da se koriste.

Do napretka je došlo kada je istraživač primetio opciju u gornjem desnom uglu ekrana za ćaskanje učesnika u sobi.

„Otkrio sam da mogu da pristupim svim privatnim fotografijama/video snimcima na tom uređaju čak i bez otključavanja telefona“, kao i da objavljujem priče na Facebook profilu žrtve prijavljene na nalog klikom na opciju „uredi“ za bilo koji medij“, objasnio je on.

Prema rečima Ariala, Facebookov tim za bezbednost objavio je u roku od jednog dana od njegove prijave hitnu ispravku za ranjivost na strani klijenta, kao i na strani servera, da bi je popravio i u ranijim ranjivim verzijama.

Iznos nagrade bilo je dobrodošlo iznenađenje, rekao je nepalski istraživač, jer je scenario napada zahtevao fizički pristup žrtvinom uređaju, iako se primarna barijera za autentifikaciju uređaja pokazala neefikasnom u ovom slučaju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Instagram pokreće ''Odmori se'' i druge funkcije za zaštitu dece

Instagram pokreće ''Odmori se'' i druge funkcije za zaštitu dece

Instagram je pokrenuo niz novih i eksperimentalnih funkcija koje imaju za cilj da aplikaciju učine sigurnijim mestom za tinejdžere, najavio je direk... Dalje

Fišing napadi na verifikovane Twitter naloge

Fišing napadi na verifikovane Twitter naloge

Verifikovani Twitter nalozi meta su fišing napada, upozorio je BleepingComputer. Verifikovani nalozi na Twitteru su oni sa plavom oznakom a obično p... Dalje

Meta proširuje program napredne zaštite naloga Facebook Protect

Meta proširuje program napredne zaštite naloga Facebook Protect

Meta, kompanija ranije poznata kao Facebook, najavila je proširenje svog bezbednosnog programa Facebook Protect i uključila u njega branioce ljudski... Dalje

Tviter zabranio objavljivanje tuđih privatnih fotografija i video snimaka

Tviter zabranio objavljivanje tuđih privatnih fotografija i video snimaka

Tviter je najavio proširenje politike koja se odnosi na privatne informacije kako bi obuhvatio i privatne medije, odnosno zabranu deljenja fotografij... Dalje

Društvene mreže mogle bi biti primorane da otkriju identitet onih koji ostavljaju klevetničke komentare

Društvene mreže mogle bi biti primorane da otkriju identitet onih koji ostavljaju klevetničke komentare

Premijer Australije Skot Morison najavio je novi zakon koji će naterati internet platforme da otkriju identitet korisnika koji stoje iza klevetnički... Dalje