Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Društvene mreže, 20.03.2015, 07:59 AM

Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Ako vam je na iPhoneu ili Androidu uključena opcija Facebook Photo Sync, možda ćete je isključiti pošto pročitate ovu vest - u Facebook Photo Sync je otkriven ozbiljan propust koji ugrožava privatne fotografije miliona korisnika.

Facebook Photo Sync je je opcija koju nudi Facebookova mobilna aplikacija, koja je uvedena krajem 2012. i koja kada je uključena svaku fotografiju koja je napravljena iPhone ili Android uređajem automatski sinhronizuje sa Facebook nalogom korisnika.

U tom slučaju fotografije se sa uređaja automatski otpremaju u privatni Facebook album koji nije vidljiv ni prijateljima korisnika Facebooka niti drugim korisnicima Facebooka. U slučaju da korisnik želi da podeli neke fotografije na svom profilu ili da ih pošalje kao poruku prijatelju on to može uraditi direktno iz albuma.

Većina korisnika Facebooka verovatno nikad nije uključila ovu opciju, ali nema sumnje da ima i onih drugih kojima se mogućnost automatskog otpremanja svake fotografije u navodno privatni Facebook album čini privlačnom. Osim toga, ova opcija je na nekim mobilnim uređajima uključena po defaultu.

Lovac na bagove, Laxman Muthiyah, otkrio je kritični propust u Facebook Photo Sync koji može omogućiti bilo kojoj third-party aplikaciji pristup privatnim fotografijama iz skrivenog albuma Facebook Photo Sync.

Facebook mobilna aplikacija podnosi GET zahtev https://graph.facebook.com/me/vaultimages sa top level pristupnim tokenom da bi pročitala sinhronizovane fotografije. Facebook server proverava pristupni token i dozvoljava aplikaciji da pročita sinhronizovane fotografije. Problem je što se tako proverava samo vlasnik pristupnog tokena ali ne i aplikacija koja šalje zahtev. Tako je praktično moguće da svaka aplikacija sa user_photos dozvolom čita privatne fotografije korisnika. Veliki broj aplikacija koristi user_photos dozvolu da bi mogle da čitaju korisnikove javne fotografije. Međutim, maliciozne aplikacije bi propust mogle iskoristiti za pristup privatnim fotografijama korisnika.

U teoriji, pristup privatnom foto albumu trebalo bi da ima samo Facebookova zvanična aplikacija, ali ovaj propust omogućava svim aplikacijama da dobiju dozvolu za pristup privatnim fotografijama korisnika Facebooka.

Laxman je poznat po tome što je otkrio propust u Facebook Graph API mehanizmu koji omogućava brisanje bilo kog albuma na Facebooku, bez obzira da li album pripada nekom korisniku, stranici ili grupi.

Laxman je i sada prijavio propust Facebooku, koji je ispravio propust u roku od pola sata i nagradio ga sa 10000 dolara. Ipak, korisnici Facebooka koji imaju uključenu opciju Facebook Photo Sync treba da razmisle o tome da je isključe, za svaki slučaj.

Ako to žele da urade, treba da odu u meni mobilne aplikacije i da u Account > App Settings > Sync Photos odaberu “Don't sync my photos”.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

''Nije do vas, do nas je'': Instagram će ubuduće obaveštavati korisnike o ''tehničkim problemima''

''Nije do vas, do nas je'': Instagram će ubuduće obaveštavati korisnike o ''tehničkim problemima''

Instagram je najavio nove funkcije koje će ljudima pružiti više informacija direktno u aplikaciji kada “nešto krene naopako”. Instagra... Dalje

Instagram najavio da će podsticati tinejdžere da ''odmore'' od Instagrama

Instagram najavio da će podsticati tinejdžere da ''odmore'' od Instagrama

Instagram će uvesti nove mere kako bi tinejdžere odvratio od štetnog sadržaja i podstakao ih da “predahnu”, izjavio je potpredsednik ... Dalje

Na Telegramu se besplatno dele podaci 700 miliona korisnika LinkedIna

Na Telegramu se besplatno dele podaci 700 miliona korisnika LinkedIna

Baza podataka koja sadrži podatke o više od 700 miliona korisnika, za koje se veruje da su prikupljeni sa LinkedIna, procurila je ove nedelje, tri m... Dalje

Facebook uvodi promene u kontrolama kolačića za korisnike u Evropi

Facebook uvodi promene u kontrolama kolačića za korisnike u Evropi

Facebook je najavio promene u kontrolama saglasnosti za kolačiće u Evropi sa ciljem da korisnicima omogući veću kontrolu nad privatnošću, ali... Dalje

Facebook demantuje izveštaje da je namerno odlagao rešavanje ozbiljnih problema na svojim platformama

Facebook demantuje izveštaje da je namerno odlagao rešavanje ozbiljnih problema na svojim platformama

Facebook tvrdi da je od 2016. godine potrošio više od 13 milijardi dolara na bezbednost i zaštitu, kao i da se 40.000 zaposlenih u kompaniji bavi i... Dalje