قام الباحث الأمني Laxman Muthiyah بإكتشاف ثغرة خطيرة تسمح للمخترق بحذف اي البوم من البومات الصور على موقع التواصل الإجتماعي فيسبوك سواء على الحسابات الشخصية او المجموعات او على الصفحات بدون الحاجة لعملية التحقق من هوية المستخدم. هذه الثغرة كانت موجودة في خدمة Graph API التي توفرها شركة فيسبوك للمطوريبن.
حسب التوثيق الخاص بخدمة Graph API فإنه لا يمكن حذف اي البوم بواسطتها, لكن الباحث الامني وجد طريقة لحذف الالبومات التي لا تعود له وخلال بضع ثواني. حيث وجد بأن رمز الوصول (access token) الخاص به والذي يتم توليده من قبل تطبيق الموبايل الخاص بالفيسبوك يمكن استغلاله لحذف اي البوم صور لأي مستخدم او مجموعة او صفحة وذلك بإستخدام خدمة Graph API على الموقع graph.facebook.com .
ولكي يتم حذف هذا الألبوم فإن المخترق يحتاج فقط لإرسال طلب للويب بإستخدام خدمة Graph API يشمل رقم الألبوم المراد حذفه بالإضافة الى رمز الوصول الخاص به من تطبيق الموبايل. حيث ان شكل الطلب كالآتي :
يذكر بأن الباحث الأمني تم مكافئته من موقع فيسبوك بمبلغ 12.500 دولار على هذا الإكتشاف, و الفيديو التالي يبين استغلاله لهذه الثغرة.
واعتقد فايسبوك قامت باصلاح الثغرة
شاهد الفيديو تاع الثغرة:
0 التعليقات: