ثغرة في موقع فيسبوك تمكن المهاجم من حذف جميع ألبومات الصور

تمكن باحث أمني هندي من إكتشاف ثغرة بالغة الخطورة في موقع فيسبوك هذا الأسبوع وتحديدا في خدمة الصور والألبومات الخاصة بمستخدمي الموقع ، الثغرة تمكن المهاجم من خذف جميع ألبومات الصور بدون الولوج إلى حساب الضحية .

حيث أوضح الباحث الأمني مكتشف الثغرة "Laxman Muthiyah" عن أن هاته الأخيرة تم إيجادها في ميكانيزمات Facebook Graph APi مما تخول للهاكر حذف أي صور داخل ألبومات سواء كانت في حساب شخصي أو صفحة أو چروب ، لكن يبقى السؤال المحير كيف يمكن ذلك إنطلاقا من الGraph Api ؟؟؟ 

حسنا ، في الحقيقة خدمة الGraph APi تتوفر على ما نسميه بالباسوورد الثاني للحساب ألا وهو الAccess Tokcen وذلك لكتابة وقراءة المعلومات مما يعطيك صلاحيات محددة للولوج لأي تطبيق على الفيسبوك ، لكن السر في إكتشاف هاته الثغرة يكمن في أن Laxman إستطاع الحصول على Access Token  التابع لحسابه لكن في نسخة الهاتف ، مما مكنته من إختراق وخذف أي صور وألبومات على أي حساب في الفيسبوك .

من جهة أخرى يمكننا توضيح هذا الهجوم في حالة أردنا حذف أي صورة كيف ما كان نوعها للضحية ، ما عليك فقط هو إرسال بعض الطلبات تحت مبنية على "HTTP-based Graph API request" مرفقة مع الID الخاص بألبوم الصور المراد خدفه بعد ذلكيتوصل المهاجم مباشرة  بالAccess Token التابع لحساب الهدف في تطبيق الفيسبوك أندرويد 

مثال على الRequest :
-Request

DELETE /<Victim's_photo_album_id> HTTP/1.1

Host : graph.facebook.com 

Content-Length: 245

access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>

وهذا هو الشريط الذي يوضح فيه الباحث الأمني كيفية إستغلال الثغرة :

مع العلم أن فريق الحماية في موقع فيسبوك قامو بمكافئة "Laxman" بمبلغ بلغ قدره 12000 دولار وذلك لمساعدته في إكتشاف هاته الثغرة .

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي