Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu

Društvene mreže, 16.06.2021, 09:00 AM

Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu

U Facebookovoj funkciji Messenger Rooms otkriven je bag koji omogućava napadaču da pristupi svim privatnim fotografijama i video snimcima, kao i drugim osetljivim podacima sačuvanim na zaključanom telefonu.

Kao što se vidi na video snimku koji je kao dokaz koncepta dostavljen Facebooku zajedno sa izveštajem o ranjivosti, Facebook nalog bi mogao biti preuzet pozivom u Messenger Room. Iako je potreban fizički pristup žrtvinom uređaju, napad se mogao izvesti bez otključavanja telefona ili tableta. Ovo otkriće donelo je nepalskom istraživaču Samipu Arialu nagradu od 3.000 američkih dolara.

Otkriće Ariala podstaknuto je sličnim bagom Messengera koji je isti istraživač otkrio u oktobru 2020. godine. Tada je Arial otkrio da je mogao da vidi privatne sačuvane video snimke žrtve, video snimke koje je gledala i video snimke koje je delila bez otključavanja telefona tokom Messenger razgovora putem funkcije “Watch Together”.

Bag, koji je takođe mogao da iskoristi samo napadač sa fizičkim pristupom zaključanom Android pametnom telefonu, je uklonjen a Facebook je ispravio još nekoliko sličnih bagova tako da sada traži da se telefon otključa pre korišćenja tako osetljivih funkcija sa zaključanog Android telefona.

Arial kaže da je odlučio da primeni isti pristup hakovanja na funkciju Messenger Rooms poziva i otkrio je da se funkcija ćaskanja može aktivirati tokom razgovora bez otključavanja Android pametnog telefona ili tableta žrtve.

Arial je koristio dva test Facebook naloga. Na jednom je bio prijavljen na Android telefonu i taj nalog je igrao ulogu žrtve, a na drugom je bio prijavljen na računaru i to je bio nalog napadača. Android telefon je bio zaključan. On je sa naloga napadača kreirao sobu i pozvao nalog žrtve da se pridruži. Zatim je pozvao nalog žrtve iz odeljka “Pozvani korisnici”. Posle nekoliko sekundi, telefon, čiji je ekran bio zaključan, počeo je da zvoni. Arial je odgovorio na poziv sa telefona i isprobao sve ranije poznate osetljive funkcije, ali za sve te funkcije, telefon je morao najpre biti otključan da bi mogle da se koriste.

Do napretka je došlo kada je istraživač primetio opciju u gornjem desnom uglu ekrana za ćaskanje učesnika u sobi.

„Otkrio sam da mogu da pristupim svim privatnim fotografijama/video snimcima na tom uređaju čak i bez otključavanja telefona“, kao i da objavljujem priče na Facebook profilu žrtve prijavljene na nalog klikom na opciju „uredi“ za bilo koji medij“, objasnio je on.

Prema rečima Ariala, Facebookov tim za bezbednost objavio je u roku od jednog dana od njegove prijave hitnu ispravku za ranjivost na strani klijenta, kao i na strani servera, da bi je popravio i u ranijim ranjivim verzijama.

Iznos nagrade bilo je dobrodošlo iznenađenje, rekao je nepalski istraživač, jer je scenario napada zahtevao fizički pristup žrtvinom uređaju, iako se primarna barijera za autentifikaciju uređaja pokazala neefikasnom u ovom slučaju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Instagram uvodi nova bezbednosna podešavanja za tinejdžere

Instagram uvodi nova bezbednosna podešavanja za tinejdžere

Instagram uvodi nova bezbednosna podešavanja za mlade korisnike: novi nalozi za decu mlađu od 16 godina biće podrazumevano privatni, biće blokiran... Dalje

Twitter testira nova obaveštenja o suspendovanim i zaključanim nalozima

Twitter testira nova obaveštenja o suspendovanim i zaključanim nalozima

Twitter testira nova obaveštenja za korisnike koji prekrše njegova pravila iz kojih mogu saznati da im je nalog suspendovan ili zaključan ili stavl... Dalje

Twitter otkrio da korisnici slabo prihvataju zaštitu naloga dvofaktorskom autentifikacijom

Twitter otkrio da korisnici slabo prihvataju zaštitu naloga dvofaktorskom autentifikacijom

U najnovijem izveštaju o bezbednosti objavljenoj na stranici Transparentnost, Twitter je otkrio da je od jula do decembra 2020. godine za samo 2,3% s... Dalje

Instagram testira novu opciju za zaštitu korisnika od vređanja i uznemiravanja

Instagram testira novu opciju za zaštitu korisnika od vređanja i uznemiravanja

Instagram testira novu funkciju pod nazivom „Ograničenja“ koja će omogućiti korisnicima da zaključaju svoje naloge i ograniče sve po... Dalje

Facebook otpustio 52 zaposlena zbog špijuniranja korisnika, uglavnom žena

Facebook otpustio 52 zaposlena zbog špijuniranja korisnika, uglavnom žena

Facebook je 2014. i 2015. godine otpustio 52 zaposlena zbog zloupotrebe pristupa podacima korisnika društvene mreže. Među onima koji su dobili otka... Dalje