Ranjivosti u Facebook aplikacijama za Android koje omogućavaju preotimanje naloga [VIDEO]

Društvene mreže, 31.10.2013, 07:33 AM

Ranjivosti u Facebook aplikacijama za Android koje omogućavaju preotimanje naloga [VIDEO]

Egipatski istraživač Muhamed Ramadan otkrio je ranjivosti u Facebook-ovim aplikacijama za Android zahvaljujući kojima hakeri mogu ukrasti pristupne tokene i preoteti naloge korisnika.

Jedna od ranjivosti koje je otkrio Ramadan je ona u Android verziji osnovne Facebook aplikacije i Facebook Messenger-u za Android.

Ramadan je otkrio da je napadaču dovoljno da pošalje žrtvi poruku koja sadrži bilo kakav prilog (video, dokument, sliku). Kada korisnik klikne na fajl da bi ga preuzeo, njegov access_token će biti sačuvan u Android Logcat, alatu koji imaju svi Android uređaji i koji prikuplja log poruke svih instaliranih aplikacija, što omogućava ostalim Android aplikacijama koje su instalirane na telefonu da se domognu tokena i pristupe Facebook nalogu žrtve.

“Svaki put kada koristite Facebook i Messenger aplikaciju za preuzimanje fajlova iz poruka, vaš access_token će procuriti i bilo koja aplikacija, čak i ona koja nije zlonamerna, može uzeti te tokene i preuzeti vaš Facebook nalog”, kaže Ramadan.

Za otkriće ove ranjivosti, koju je Ramadan prijavio Facebook-u pre nekoliko meseci, kompanija je nagradila istraživača sa 2500 dolara.

Druga ranjivost koju je otkrio Ramadan je ona u Facebook Pages Manager-u za Android, i slična je prvoj.

“Ranjivost koju sam pronašao u Facebook Pages Manager-u je ista kao ona druga ali da bi bila iskorišćena potrebno je da se prijavite na vaš Facebook nalog i vaš pristupni token će biti dostupan svim aplikacijama bez potrebe da preuzimate blo šta od bilo koga”, objašnjava Ramadan.

Za otkriće ove ranjivosti istraživač je nagrađen sa 3500 dolara.

Ramadan je savetovao korisnicima da ažuriraju svoje aplikacije kako bi se zaštitili od napada u kojima ranjivosti koje je on otkrio mogu biti iskorišćene.

Ramadan je objavio i video u kome je prikazao kako bi izgledao napad u kome se koristi ranjivost u aplikaciji Facebook Pages Manager.

Više tehničkih detalja o ovome možete naći na Attack-Secure.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook ide na sud zbog tehnologije prepoznavanja lica, kompaniji preti kazna od 35 milijardi dolara

Facebook ide na sud zbog tehnologije prepoznavanja lica, kompaniji preti kazna od 35 milijardi dolara

Facebook je izgubio još jednu bitku u ratu koji vodi ne bi li zaustavio kolektivnu tužbu u slučaju vrednom 35 milijardi dolara koji je pokrenut zbo... Dalje

Instagram želi da vam pomogne da odlučite koga ćete otpratiti

Instagram želi da vam pomogne da odlučite koga ćete otpratiti

Ako ste od onih koji na Instagramu prate stotine a možda i hiljade profila, velike su šanse da ne znate koga sve pratite jer većinu profila uopšte... Dalje

Facebook ne planira da odustane od šifrovanja poruka zbog zaštite dece od pedofila

Facebook ne planira da odustane od šifrovanja poruka zbog zaštite dece od pedofila

Direktor kompanije Facebook Mark Zakerberg najavio je ranije ove godine da kompanija planira šifrovanje poruka na svojim platformama. Od tada, vlasti... Dalje

Facebook najavio da će nagrađivati one koji otkriju bagove u aplikacijama drugih proizvođača

Facebook najavio da će nagrađivati one koji otkriju bagove u aplikacijama drugih proizvođača

Nakon niza sigurnosnih propusta i zloupotrebe podataka korisnika, Facebook je najavio da proširuje svoj program nagrada kako bi poboljšao sigurnost ... Dalje

Korisnici Facebooka se žale da su im nalozi blokirani nakon što su Facebooku prijavili lažne naloge

Korisnici Facebooka se žale da su im nalozi blokirani nakon što su Facebooku prijavili lažne naloge

Zamislite da dobijete Facebook poruku od pokojnog rođaka ili prijatelja? Šta biste uradili? Verovatno biste lažni nalog prijavili Facebooku? To je ... Dalje