Pristup Facebook podacima bez otključavanja telefona
- Objavljeno u Novosti
Nepalski stručnjak za računalnu sigurnost Samip Aryal, ugodno se iznenadio kad je od Facebooka dobio nagradu u visini od 3.000 dolara (18.553 kn) za video u kojem je najvećoj društvenoj mreži pružio dokaz koncepta o sigurnosnoj ranjivosti u Facebookovoj video chat značajki Messenger Rooms.
Aryal je otkrio način da pristupom malicioznim računom u chat u Messenger Roomsu i pozivom u sekciji Invited Users može targetirati telefon korisnika čiji zaslon je zaključan i kroz nekoliko sekundi ga natjerati da zazvoni. Nakon isprobavanje nekih značajki poput "watch together", "add people" i drugih otkrio je da ih ne može koristiti bez otključavanja telefona.
Nakon toga je proučavao opciju u desnom gornjem uglu zaslona poziva kako bi chatao s drugim sudionicima, nakon čega je došao u mogućnost pristupa privatnim fotografijama i video filmovima na uređaju bez otključavanja telefona, kao i mogućnost slanja postova klikom na "edit" opciju.
Aryal kaže da je Facebook zbog njegovog otkrića vrlo brzo implementirao "hotfix" na strani klijenta i servera servisa unutar jednog dana.
Iznos nagrade je za njega bio, kako kaže, "dobrodošlo iznenađenje", budući da je scenarij napada zahtijevao fizički pristup žrtvinom uređaju, iako se primarna autentifikacijska barijera uređaja pokazala neučinkovitom u ovom slučaju.