Facebook安全漏洞让黑客能够删除任意照片

Facebook安全漏洞让黑客能够删除任意照片

一名印度研究人员发现了Facebook一处最新漏洞，由于该漏洞存在，可致黑客删除存储在Facebook上的任何一张图片，不管这照片是你的，还是我的，甚至是Zuckerberg的，黑客都能通过该漏洞将照片删除。

该研究人员名为Arul Kumar，他现在已获得了来自Facebook“漏洞奖励计划”提供的12500美元奖金，Facebook的“漏洞奖励计划”鼓励研究人员发现安全漏洞并及时报告。

Arul Kumar在其博客上利用大篇幅介绍了Facebook的最新漏洞，Kumar称该漏洞位于Facebook的支持页面，并称该漏洞属于“关键”级别，存在于所有浏览器的任一版本上，但通过该漏洞进行的攻击，移动设备最易得手。他发现这个漏洞可被用来删除任何已认证用户、页面或群组的照片，以及来自于状态信息、相簿、推荐帖子甚至是评论中的照片。

这个漏洞是Kumar在对移动版Facabook Support Dashboard进行研究后发现的，这个门户允许用户追踪向Facebook网站提交的任何报告的进展，包括用户认为哪些照片应被删除等。

当用户提交这种申请而Facebook并未删除可疑照片时，用户可选择直接向图片所有者发送删除照片的请求。这样做的结果是，Facebook会生成一个照片删除链接，该链接随后会被发送给信息接收者（即照片所有人），接收者可点击链接以删除照片。

但是由于该漏洞的存在，在用户发送删除请求时生成的两个参数“photo_id”和“profile_id”容易被黑客篡改。一旦这些参数遭黑客篡改，黑客可以在他们自己的邮箱接收来自Facebook发送的任何图片的删除链接，而图片主人则对此全然不知。

Kumar解释称，这个漏洞可被用来删除任何已认证用户、页面或群组的照片，以及来自于状态信息、相簿、推荐帖子甚至是评论中的照片。

据悉，目前该漏洞已被修复。