v1nt
Member
Учёный из Cynet, Ysrael Gurt, недавно заметил баг в мессенджере популярной социальной сети Facebook, эксплатирование этого бага позволяло легко читать чужие сообщения, не хуже этих Ваших ФСБ и ФБР, это ставило под угрозу безопасность личных конфиденациальных данных более 1 миллиарда пользователей социальной сети. Баг позволял не просто получить доступ к переписке, но и ко всем файлам вложенным в неё, в том числе и к фотографиям.
При это всём, чтобы баг начал приносить пользу хакеру, просто нужно заставить жертву перейти по ссылке на его сайт с вредоносным кодом. В момент когда пользователь нажимает на ссылку, при этом не важно где в браузере или в приложение, все беседы станут видны хакеру. Этот метод взлома получил название «Originull», он легко позволяет обойти все защиты социальной сети и через сторонний сайт получать доступ ко всем личным сообщениям пользователей.
Вся суть проблемы в том, что сама социальная сеть Facebook дала согласие своим подсайтам получать доступ к сообщениям пользователей, то есть по идеи любой браузер защищает от подобных атак, но если ни браузер ни сам Facebook не могут точно идентифицировать данный подсайт, то злоумышленник легко получает доступ.
В настоящее время данная узявимость уже устранена, ведь исследователь написал команде разработчиков соцциальной сети, а потом уже выложил в сеть на общий доступ свою инфмормацию.
При это всём, чтобы баг начал приносить пользу хакеру, просто нужно заставить жертву перейти по ссылке на его сайт с вредоносным кодом. В момент когда пользователь нажимает на ссылку, при этом не важно где в браузере или в приложение, все беседы станут видны хакеру. Этот метод взлома получил название «Originull», он легко позволяет обойти все защиты социальной сети и через сторонний сайт получать доступ ко всем личным сообщениям пользователей.
Вся суть проблемы в том, что сама социальная сеть Facebook дала согласие своим подсайтам получать доступ к сообщениям пользователей, то есть по идеи любой браузер защищает от подобных атак, но если ни браузер ни сам Facebook не могут точно идентифицировать данный подсайт, то злоумышленник легко получает доступ.
В настоящее время данная узявимость уже устранена, ведь исследователь написал команде разработчиков соцциальной сети, а потом уже выложил в сеть на общий доступ свою инфмормацию.
