Kako neko može videti sve slike i video snimke na vašem zaključanom telefonu zahvaljujući Facebook bagu
Društvene mreže, 16.06.2021, 09:00 AM
U Facebookovoj funkciji Messenger Rooms otkriven je bag koji omogućava napadaču da pristupi svim privatnim fotografijama i video snimcima, kao i drugim osetljivim podacima sačuvanim na zaključanom telefonu.
Kao što se vidi na video snimku koji je kao dokaz koncepta dostavljen Facebooku zajedno sa izveštajem o ranjivosti, Facebook nalog bi mogao biti preuzet pozivom u Messenger Room. Iako je potreban fizički pristup žrtvinom uređaju, napad se mogao izvesti bez otključavanja telefona ili tableta. Ovo otkriće donelo je nepalskom istraživaču Samipu Arialu nagradu od 3.000 američkih dolara.
Otkriće Ariala podstaknuto je sličnim bagom Messengera koji je isti istraživač otkrio u oktobru 2020. godine. Tada je Arial otkrio da je mogao da vidi privatne sačuvane video snimke žrtve, video snimke koje je gledala i video snimke koje je delila bez otključavanja telefona tokom Messenger razgovora putem funkcije “Watch Together”.
Bag, koji je takođe mogao da iskoristi samo napadač sa fizičkim pristupom zaključanom Android pametnom telefonu, je uklonjen a Facebook je ispravio još nekoliko sličnih bagova tako da sada traži da se telefon otključa pre korišćenja tako osetljivih funkcija sa zaključanog Android telefona.
Arial kaže da je odlučio da primeni isti pristup hakovanja na funkciju Messenger Rooms poziva i otkrio je da se funkcija ćaskanja može aktivirati tokom razgovora bez otključavanja Android pametnog telefona ili tableta žrtve.
Arial je koristio dva test Facebook naloga. Na jednom je bio prijavljen na Android telefonu i taj nalog je igrao ulogu žrtve, a na drugom je bio prijavljen na računaru i to je bio nalog napadača. Android telefon je bio zaključan. On je sa naloga napadača kreirao sobu i pozvao nalog žrtve da se pridruži. Zatim je pozvao nalog žrtve iz odeljka “Pozvani korisnici”. Posle nekoliko sekundi, telefon, čiji je ekran bio zaključan, počeo je da zvoni. Arial je odgovorio na poziv sa telefona i isprobao sve ranije poznate osetljive funkcije, ali za sve te funkcije, telefon je morao najpre biti otključan da bi mogle da se koriste.
Do napretka je došlo kada je istraživač primetio opciju u gornjem desnom uglu ekrana za ćaskanje učesnika u sobi.
„Otkrio sam da mogu da pristupim svim privatnim fotografijama/video snimcima na tom uređaju čak i bez otključavanja telefona“, kao i da objavljujem priče na Facebook profilu žrtve prijavljene na nalog klikom na opciju „uredi“ za bilo koji medij“, objasnio je on.
Prema rečima Ariala, Facebookov tim za bezbednost objavio je u roku od jednog dana od njegove prijave hitnu ispravku za ranjivost na strani klijenta, kao i na strani servera, da bi je popravio i u ranijim ranjivim verzijama.
Iznos nagrade bilo je dobrodošlo iznenađenje, rekao je nepalski istraživač, jer je scenario napada zahtevao fizički pristup žrtvinom uređaju, iako se primarna barijera za autentifikaciju uređaja pokazala neefikasnom u ovom slučaju.
Izdvojeno
Evropol i šefovi evropskih policija zabrinuti zbog enkripcije na platformama društvenih mreža
Šefovi evropskih policija pozvali su i industriju i vlade na hitnu akciju kako bi se zaštitila javna bezbednost na platformama društvenih mreža, i... Dalje
Meta testira alate za Instagram i Facebook koji treba da spreče seksualne ucene i zloupotrebu intimnih slika
Meta je objavila da će uskoro početi da testira novu funkciju zaštite od golotinje u Instagram DM-ovima, koja zamagljuje slike za koje se otkrije d... Dalje
TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima
Italijanska regulatorno telo za zaštitu konkurencije kaznilo je TikTok sa 10 miliona evra jer nije zaštitio korisnike od opasne igre poznate kao Fre... Dalje
Investicione prevare u reklamama na Facebooku
Istraživači sajber bezbednosti iz firme Infoblox upozorili su korisnike na grupu Savvy Seahorse koja koristi Facebook reklame da bi prevarila korisn... Dalje
Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija
Zvanični nalog Metjua Perija na X-u (nekadašnji Twitter) je hakovan, a oni koji su to uradili zatražili su donacije od obožavalaca pokojnog glumca... Dalje
Pratite nas
Nagrade