O hacker Laxman Muthiyah que descobriu a falha disse que a vulnerabilidade na verdade, reside no mecanismo Facebook Graph API, que permite "um hacker excluir qualquer álbum de fotos no Facebook. Qualquer um mesmo, até de álbum de fotos de propriedade de um usuário ou uma página ou um grupo pode ser excluído."
De acordo com o Facebook, não é possível apagar álbuns usando a API Graph, mas o hacker indiano encontrou uma maneira de excluir não só as suas próprias fotos, mas também dos outros álbuns de fotos do Facebook em poucos segundos.
Em geral, Facebook Graph API requer um token de acesso para ler ou escrever dados de usuários, o que dá acesso limitado a apenas um aplicativo. No entanto, Laxman descobriu que seu próprio "token de acesso" produzidos para a versão móvel do Facebook pode ser explorada para remover todos os álbuns de fotos postadas por qualquer usuário Facebook.
Para excluir um álbum de fotos da conta da vítima no Facebook, o hacker só precisa enviar um pedido ao Graph API (uma interface de programação )baseada em HTTP como vítima o álbum de fotos, e ID o próprio token de acesso para o app "Facebook para Android"
Veja exemplo do pedido:
Pedido: - APAGAR / HTTP / 1.1
Anfitrião: graph.facebook.com
Content-Length: 245
access_token =
O programa do Facebook para busca falhas recompensou com 12.500 dólares o Hacker.
Já relatamos aqui no Blog vários hacker que invadiram o Facebook, ate mesmo um brasileiro, um mineiro do ITA Reginaldo José da Silva Filho.
Todas estas falhas mostram que os aplicativos e paginas não são seguros, temos senhas, emails, fotos que podem ser a qualquer momento roubadas.
A segurança na internet deve ser repensada, devem existir leis para sua regulamentação ou seremos engolidos pela internet.
Nenhum comentário:
Postar um comentário