網路資訊曹乙帆 / – 2013/09/03
印度安全研究人員Arul Kumar,在臉書(Facebook)上發現了一個可允許駭客刪除任何圖檔的安全漏洞,其尋找安全漏洞的努力已獲得獎勵。
Kumar在自己的部落格上詳述指出,透過臉書安全漏洞,可以入侵「臉書支援儀表板」(Facebook Support Dashboard)。
這個被認為具備「重大」風險的安全漏洞,可影響任何瀏覽器與任何版本,其中尤以行動裝置遭受漏洞攻擊的成功率最高。
臉書支援儀表板通常會發送「照片移除請求」給臉書。該通報不是由臉書員工檢視,就是直接發送給圖檔的擁有者。接著會生成一個可刪除照片的連結,一旦擁有者點取了該連結,擁有著不想要的照片會立即被刪掉。
駭客刪除圖檔示意圖。(圖片來源)
然而,訊息發送的同時,其中photo_id與Owners Profile_id兩個參數卻內含安全漏洞。駭客只要修改該參數,便可在擁有者毫不知覺,抑或不需藉助擁有者任何動作的情況下,便可隨時在收件匣中收到任何照片移除的連結。
每張照片各有一個「fbid」值,其可透過臉書URL來找到。在圖檔ID受到保護之後,接下來便可用兩個臉書使用者帳號,亦即發件者與收件者帳號來接收「照片移除連結」。
Kumar表示,透過上述方法,任何頁面或使用者的照片能被刪除,已分享或被貼標籤的圖檔也能被刪除,同時還可毫無限制地刪除群組、頁面或推薦文上的照片。
也因為上述的發現,Kumar獲得臉書漏洞賞金計畫頒發的1.25萬美金獎賞,同時該安全漏洞也已獲得修補。
資料來源:ZDNet