Facebook安全漏洞让黑客能够删除任意照片
Facebook安全漏洞让黑客能够删除任意照片
一名印度研究人员发现了Facebook一处最新漏洞,由于该漏洞存在,可致黑客删除存储在Facebook上的任何一张图片,不管这照片是你的,还是我的,甚至是Zuckerberg的,黑客都能通过该漏洞将照片删除。
该研究人员名为Arul Kumar,他现在已获得了来自Facebook“漏洞奖励计划”提供的12500美元奖金,Facebook的“漏洞奖励计划”鼓励研究人员发现安全漏洞并及时报告。
Arul Kumar在其博客上利用大篇幅介绍了Facebook的最新漏洞,Kumar称该漏洞位于Facebook的支持页面,并称该漏洞属于“关键”级别,存在于所有浏览器的任一版本上,但通过该漏洞进行的攻击,移动设备最易得手。他发现这个漏洞可被用来删除任何已认证用户、页面或群组的照片,以及来自于状态信息、相簿、推荐帖子甚至是评论中的照片。
这个漏洞是Kumar在对移动版Facabook Support Dashboard进行研究后发现的,这个门户允许用户追踪向Facebook网站提交的任何报告的进展,包括用户认为哪些照片应被删除等。
当用户提交这种申请而Facebook并未删除可疑照片时,用户可选择直接向图片所有者发送删除照片的请求。这样做的结果是,Facebook会生成一个照片删除链接,该链接随后会被发送给信息接收者(即照片所有人),接收者可点击链接以删除照片。
但是由于该漏洞的存在,在用户发送删除请求时生成的两个参数“photo_id”和“profile_id”容易被黑客篡改。一旦这些参数遭黑客篡改,黑客可以在他们自己的邮箱接收来自Facebook发送的任何图片的删除链接,而图片主人则对此全然不知。
Kumar解释称,这个漏洞可被用来删除任何已认证用户、页面或群组的照片,以及来自于状态信息、相簿、推荐帖子甚至是评论中的照片。
据悉,目前该漏洞已被修复。