Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Društvene mreže, 20.03.2015, 07:59 AM

Propust u Facebook Photo Sync ugrožava privatne fotografije korisnika

Ako vam je na iPhoneu ili Androidu uključena opcija Facebook Photo Sync, možda ćete je isključiti pošto pročitate ovu vest - u Facebook Photo Sync je otkriven ozbiljan propust koji ugrožava privatne fotografije miliona korisnika.

Facebook Photo Sync je je opcija koju nudi Facebookova mobilna aplikacija, koja je uvedena krajem 2012. i koja kada je uključena svaku fotografiju koja je napravljena iPhone ili Android uređajem automatski sinhronizuje sa Facebook nalogom korisnika.

U tom slučaju fotografije se sa uređaja automatski otpremaju u privatni Facebook album koji nije vidljiv ni prijateljima korisnika Facebooka niti drugim korisnicima Facebooka. U slučaju da korisnik želi da podeli neke fotografije na svom profilu ili da ih pošalje kao poruku prijatelju on to može uraditi direktno iz albuma.

Većina korisnika Facebooka verovatno nikad nije uključila ovu opciju, ali nema sumnje da ima i onih drugih kojima se mogućnost automatskog otpremanja svake fotografije u navodno privatni Facebook album čini privlačnom. Osim toga, ova opcija je na nekim mobilnim uređajima uključena po defaultu.

Lovac na bagove, Laxman Muthiyah, otkrio je kritični propust u Facebook Photo Sync koji može omogućiti bilo kojoj third-party aplikaciji pristup privatnim fotografijama iz skrivenog albuma Facebook Photo Sync.

Facebook mobilna aplikacija podnosi GET zahtev https://graph.facebook.com/me/vaultimages sa top level pristupnim tokenom da bi pročitala sinhronizovane fotografije. Facebook server proverava pristupni token i dozvoljava aplikaciji da pročita sinhronizovane fotografije. Problem je što se tako proverava samo vlasnik pristupnog tokena ali ne i aplikacija koja šalje zahtev. Tako je praktično moguće da svaka aplikacija sa user_photos dozvolom čita privatne fotografije korisnika. Veliki broj aplikacija koristi user_photos dozvolu da bi mogle da čitaju korisnikove javne fotografije. Međutim, maliciozne aplikacije bi propust mogle iskoristiti za pristup privatnim fotografijama korisnika.

U teoriji, pristup privatnom foto albumu trebalo bi da ima samo Facebookova zvanična aplikacija, ali ovaj propust omogućava svim aplikacijama da dobiju dozvolu za pristup privatnim fotografijama korisnika Facebooka.

Laxman je poznat po tome što je otkrio propust u Facebook Graph API mehanizmu koji omogućava brisanje bilo kog albuma na Facebooku, bez obzira da li album pripada nekom korisniku, stranici ili grupi.

Laxman je i sada prijavio propust Facebooku, koji je ispravio propust u roku od pola sata i nagradio ga sa 10000 dolara. Ipak, korisnici Facebooka koji imaju uključenu opciju Facebook Photo Sync treba da razmisle o tome da je isključe, za svaki slučaj.

Ako to žele da urade, treba da odu u meni mobilne aplikacije i da u Account > App Settings > Sync Photos odaberu “Don't sync my photos”.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook želi da koristi slike koje nikada niste objavili za obuku AI modela

Facebook već godinama koristi javne objave, fotografije i interakcije korisnika za obuku veštačke inteligencije. Kompanija je već iskoristila javn... Dalje

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook uvodi passkey – bezbedniji način prijave bez lozinke

Facebook je najavio da uvodi passkey (digitalni ključ) kao novi način prijavljivanja na mobilnim uređajima, bez potrebe za klasičnim lozinkama. Ov... Dalje

Zašto sajber kriminalci traže posao na LinkedIn-u

Zašto sajber kriminalci traže posao na LinkedIn-u

Sajber kriminalci iz poznate grupe FIN6 predstavljaju se kao ljudi koji traže posao na platformama poput LinkedIn-a kako bi zarazili poslodavce malve... Dalje

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Oglasi za lažne AI video generatore na Facebook-u i LinkedIn-u šire malvere

Mandiant Threat Defens upozorava korisnike na prevaru iza koje stoji grupa UNC6032 koja na društvenim mrežama postavlja oglase za lažne AI video al... Dalje

TikTok video snimci šire malvere Vidar i StealC

TikTok video snimci šire malvere Vidar i StealC

Sajber kriminalci koriste TikTok video snimke za širenje malvera za krađu informacija Vidar i StealC u ClickFix napadima, upozorava Trend Micro. Re... Dalje