Úvod > Články > Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Dva hackeři z konzultační společnosti XYSec objevili ve Facebooku zranitelnost, prostřednictvím které bylo možné sledovat uživatele přes jejich vlastní webovou kameru. Po dlouhých měsících od oznámení chyby nyní Facebook díru zalepil.

Zranitelnost typu CSRF (Cross Site Request Forgery) našli dva výzkumníci z firmy XYSec, Aditya Gupta a Subho Halder. Už před půl rokem varovali Facebook, jak jednoduše může útočník nahrát uživatele sedícího před počítačem a ještě toto video umístit na jeho profil. Bezpečnostní pracovníci Facebooku původně nepovažovali chybu za kritickou, ale poté, co zmínění výzkumníci uveřejnili i video s ukázkou, se rozhodli chybu opravit.

Zástupci Facebooku poslali oběma hackerům zprávu až v těchto dnech. Za objevení chyby jim slíbili odměnu 2 500 amerických dolarů (zhruba 48 tisíc korun) ve formě debetní karty White Hat, kterou Facebook vydává všem „white hat“ hackerům, jež objeví jeho v systémech bezpečnostní chyby.

Slovy obou autorů, jejich proof-of-concept útoku byl typickou ukázkou útoku na bázi CSRF, kdy dochází k napadení/zneužití internetové aplikace zasláním dotazu na servery, jako by ho provedl sám přihlášený uživatel – chybou je, že požadavek (jako je zapnutí webové kamery) systém neověřuje (zda pochází opravdu od majitele účtu). V tomto případě aplikace Facebooku tedy nevěděly, zda video přes webovou kameru chce nahrávat skutečný uživatel nebo útočník.

K úspěšnému provedení útoku bylo nutné, aby uživatel byl přihlášen do Facebooku a aby otevřel webovou stránku s kódem, který spustí nahrávání videa (právě přes Facebook). Napadený uživatel přitom vůbec neví, že ho kamera v takový okamžik začne nahrávat. Pořízené video bylo možné hned odeslat i na profil oběti.


 

7. 1. 2013

Autor: Redakce DSL.cz

Sdílejte

Přečtěte si také

 

Mafra posiluje své postavení na realitním trhu

Vydavatelství Mafra rozšířilo své portfolio o společnost AdInternet. Česká firma se specializuje na prodej realit...

 

Elop končí v Microsoftu, co s ním bude teď?

Dvaapadesátiletý Stephen Elop opustil pozici výkonného viceprezidenta Devices & Services ve společnosti Microsoft...

 

Hlídejte si své účty před kyberútoky

Kyberloupeže a útoky na účty klientů bank v České republice během posledního roku rapidně stouply. Banky posilují...

Nejčtenější články

Naměřené rychlosti internetu na DSL.cz v dubnu 2016

 

Rychlost mobilního internetu u T-Mobile stále roste. Jedná se jak o rychlost internetu LTE, tak i o 3G. Pevné sítě s...

Windows 10 už nebudou zdarma. Bezplatný přechod bude ukončen.

 

Bezplatný přechod na Windows 10 skončí pravděpodobně 29. července. Od té doby si zájemci budou muset zaplatit.

Víme, kde v dubnu došlo ke zrychlení DSL připojení!

 

CETIN v posledních měsících intenzivně zrychluje DSL připojení. Přinášíme vám seznam 35 obcí, kde se v dubnu...