CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/02/2019

Una fallada en Facebook deixa veure les fotos privades d'altres usuaris

Facebook 2 Una fallada de seguretat en Facebook ha permès a un investigador reportar recentment la vulnerabilitat que permetia visualitzar fotos privades d'altres usuaris.

La vulnerabilitat ha sigut reportada per un investigador el qual va descobrir la vulnerabilitat en portal.facebook.com, que està dissenyat per a realitzar videotelefonades.

La fallada es va descobrir en el web del portal, en el qual a través d'una finestra de suport es poden realitzar consultes a un BOT on es pot incloure imatges, vídeos i arxius en el xat, introduint en aquesta funcionalitat la vulnerabilitat.

La fallada es trobava en el fet que, en pujar un fitxer, vídeo o una foto, aquest rep un identificador numèric d'igual forma que ocorre amb la resta de fotos pujades a Facebook. Després de pujar la foto, es realitza una nova petició que envia un nou missatge de tipus foto al xat. Si se substitueix en aquest missatge l'identificador de la foto per l'identificador de qualsevol altra foto, en enviar el missatge i visualitzar-lo veurem automàticament la foto corresponent a l'identificador modificat.

Encara que aquesta fallada aquesta molt limitat pel fet que l'atacant hauria de saber l'identificador de la foto, Facebook ja ha arreglat aquest problema per a evitar que usuari maliciós poguera realitzar un atac de força bruta i obtindre l'identificador de les fotos privades d'altres usuaris.

Més informació ací

Font: https://unaaldia.hispasec.com

CSIRT-CV