Úvod > Články > Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Dva hackeři z konzultační společnosti XYSec objevili ve Facebooku zranitelnost, prostřednictvím které bylo možné sledovat uživatele přes jejich vlastní webovou kameru. Po dlouhých měsících od oznámení chyby nyní Facebook díru zalepil.

Zranitelnost typu CSRF (Cross Site Request Forgery) našli dva výzkumníci z firmy XYSec, Aditya Gupta a Subho Halder. Už před půl rokem varovali Facebook, jak jednoduše může útočník nahrát uživatele sedícího před počítačem a ještě toto video umístit na jeho profil. Bezpečnostní pracovníci Facebooku původně nepovažovali chybu za kritickou, ale poté, co zmínění výzkumníci uveřejnili i video s ukázkou, se rozhodli chybu opravit.

Zástupci Facebooku poslali oběma hackerům zprávu až v těchto dnech. Za objevení chyby jim slíbili odměnu 2 500 amerických dolarů (zhruba 48 tisíc korun) ve formě debetní karty White Hat, kterou Facebook vydává všem „white hat“ hackerům, jež objeví jeho v systémech bezpečnostní chyby.

Slovy obou autorů, jejich proof-of-concept útoku byl typickou ukázkou útoku na bázi CSRF, kdy dochází k napadení/zneužití internetové aplikace zasláním dotazu na servery, jako by ho provedl sám přihlášený uživatel – chybou je, že požadavek (jako je zapnutí webové kamery) systém neověřuje (zda pochází opravdu od majitele účtu). V tomto případě aplikace Facebooku tedy nevěděly, zda video přes webovou kameru chce nahrávat skutečný uživatel nebo útočník.

K úspěšnému provedení útoku bylo nutné, aby uživatel byl přihlášen do Facebooku a aby otevřel webovou stránku s kódem, který spustí nahrávání videa (právě přes Facebook). Napadený uživatel přitom vůbec neví, že ho kamera v takový okamžik začne nahrávat. Pořízené video bylo možné hned odeslat i na profil oběti.


 

7. 1. 2013

Autor: Redakce DSL.cz

Sdílejte

Přečtěte si také

 

Mafra posiluje své postavení na realitním trhu

Vydavatelství Mafra rozšířilo své portfolio o společnost AdInternet. Česká firma se specializuje na prodej realit...

 

Elop končí v Microsoftu, co s ním bude teď?

Dvaapadesátiletý Stephen Elop opustil pozici výkonného viceprezidenta Devices & Services ve společnosti Microsoft...

 

Hlídejte si své účty před kyberútoky

Kyberloupeže a útoky na účty klientů bank v České republice během posledního roku rapidně stouply. Banky posilují...

Nejčtenější články

CETIN zrychluje VDSL na 50 Mb/s a chystá rychlost až 250 Mb/s!

 

Česká telekomunikační infrastruktura (CETIN) opět aktualizovala svoji nabídku pro přístup k veřejné pevné...

Zakrýváte si kameru u notebooku?

 

Kvůli obavám ze sledování hackery, uživatelé používají krytky, se kterými zakrývají nejen kamery u notebooků, ale i...

dTest podává žalobu na O2 kvůli datovým tarifům

 

Od pátku 15. července budou u O2 platit nové podmínky ohledně datových tarifů. O2 neumožní zákazníkům odstoupit od...