Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Društvene mreže, 20.03.2015, 07:59 AM

Ako vam je na iPhoneu ili Androidu uključena opcija Facebook Photo Sync, možda ćete je isključiti pošto pročitate ovu vest - u Facebook Photo Sync je otkriven ozbiljan propust koji ugrožava privatne fotografije miliona korisnika.

Facebook Photo Sync je je opcija koju nudi Facebookova mobilna aplikacija, koja je uvedena krajem 2012. i koja kada je uključena svaku fotografiju koja je napravljena iPhone ili Android uređajem automatski sinhronizuje sa Facebook nalogom korisnika.

U tom slučaju fotografije se sa uređaja automatski otpremaju u privatni Facebook album koji nije vidljiv ni prijateljima korisnika Facebooka niti drugim korisnicima Facebooka. U slučaju da korisnik želi da podeli neke fotografije na svom profilu ili da ih pošalje kao poruku prijatelju on to može uraditi direktno iz albuma.

Većina korisnika Facebooka verovatno nikad nije uključila ovu opciju, ali nema sumnje da ima i onih drugih kojima se mogućnost automatskog otpremanja svake fotografije u navodno privatni Facebook album čini privlačnom. Osim toga, ova opcija je na nekim mobilnim uređajima uključena po defaultu.

Lovac na bagove, Laxman Muthiyah, otkrio je kritični propust u Facebook Photo Sync koji može omogućiti bilo kojoj third-party aplikaciji pristup privatnim fotografijama iz skrivenog albuma Facebook Photo Sync.

Facebook mobilna aplikacija podnosi GET zahtev https://graph.facebook.com/me/vaultimages sa top level pristupnim tokenom da bi pročitala sinhronizovane fotografije. Facebook server proverava pristupni token i dozvoljava aplikaciji da pročita sinhronizovane fotografije. Problem je što se tako proverava samo vlasnik pristupnog tokena ali ne i aplikacija koja šalje zahtev. Tako je praktično moguće da svaka aplikacija sa user_photos dozvolom čita privatne fotografije korisnika. Veliki broj aplikacija koristi user_photos dozvolu da bi mogle da čitaju korisnikove javne fotografije. Međutim, maliciozne aplikacije bi propust mogle iskoristiti za pristup privatnim fotografijama korisnika.

U teoriji, pristup privatnom foto albumu trebalo bi da ima samo Facebookova zvanična aplikacija, ali ovaj propust omogućava svim aplikacijama da dobiju dozvolu za pristup privatnim fotografijama korisnika Facebooka.

Laxman je poznat po tome što je otkrio propust u Facebook Graph API mehanizmu koji omogućava brisanje bilo kog albuma na Facebooku, bez obzira da li album pripada nekom korisniku, stranici ili grupi.

Laxman je i sada prijavio propust Facebooku, koji je ispravio propust u roku od pola sata i nagradio ga sa 10000 dolara. Ipak, korisnici Facebooka koji imaju uključenu opciju Facebook Photo Sync treba da razmisle o tome da je isključe, za svaki slučaj.

Ako to žele da urade, treba da odu u meni mobilne aplikacije i da u Account > App Settings > Sync Photos odaberu “Don't sync my photos”.