Úvod > Články > Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Dva hackeři z konzultační společnosti XYSec objevili ve Facebooku zranitelnost, prostřednictvím které bylo možné sledovat uživatele přes jejich vlastní webovou kameru. Po dlouhých měsících od oznámení chyby nyní Facebook díru zalepil.

Zranitelnost typu CSRF (Cross Site Request Forgery) našli dva výzkumníci z firmy XYSec, Aditya Gupta a Subho Halder. Už před půl rokem varovali Facebook, jak jednoduše může útočník nahrát uživatele sedícího před počítačem a ještě toto video umístit na jeho profil. Bezpečnostní pracovníci Facebooku původně nepovažovali chybu za kritickou, ale poté, co zmínění výzkumníci uveřejnili i video s ukázkou, se rozhodli chybu opravit.

Zástupci Facebooku poslali oběma hackerům zprávu až v těchto dnech. Za objevení chyby jim slíbili odměnu 2 500 amerických dolarů (zhruba 48 tisíc korun) ve formě debetní karty White Hat, kterou Facebook vydává všem „white hat“ hackerům, jež objeví jeho v systémech bezpečnostní chyby.

Slovy obou autorů, jejich proof-of-concept útoku byl typickou ukázkou útoku na bázi CSRF, kdy dochází k napadení/zneužití internetové aplikace zasláním dotazu na servery, jako by ho provedl sám přihlášený uživatel – chybou je, že požadavek (jako je zapnutí webové kamery) systém neověřuje (zda pochází opravdu od majitele účtu). V tomto případě aplikace Facebooku tedy nevěděly, zda video přes webovou kameru chce nahrávat skutečný uživatel nebo útočník.

K úspěšnému provedení útoku bylo nutné, aby uživatel byl přihlášen do Facebooku a aby otevřel webovou stránku s kódem, který spustí nahrávání videa (právě přes Facebook). Napadený uživatel přitom vůbec neví, že ho kamera v takový okamžik začne nahrávat. Pořízené video bylo možné hned odeslat i na profil oběti.


 

7. 1. 2013

Autor: Redakce DSL.cz

Sdílejte

Přečtěte si také

 

Mafra posiluje své postavení na realitním trhu

Vydavatelství Mafra rozšířilo své portfolio o společnost AdInternet. Česká firma se specializuje na prodej realit...

 

Elop končí v Microsoftu, co s ním bude teď?

Dvaapadesátiletý Stephen Elop opustil pozici výkonného viceprezidenta Devices & Services ve společnosti Microsoft...

 

Hlídejte si své účty před kyberútoky

Kyberloupeže a útoky na účty klientů bank v České republice během posledního roku rapidně stouply. Banky posilují...

Nejčtenější články

Formule 1 2024: Kde sledovat přímé přenosy?

 

Sezóna Formule 1 2024 startuje. Podívejte se, kde letos sledovat přímé přenosy ze všech velkých cen, kvalifikací a...

Naměřené rychlosti internetu na DSL.cz v únoru 2024

 

Podívejte se na únorové statistiky rychlostí internetu od DSL.cz. Jak si tentokrát vedly technologie a u kterého...

Platforma X chce konkurovat Gmailu novým XMailem

 

Elon Musk oznámil spuštění vlastního e-mailového klienta XMail. Chce tak konkurovat populárním Gmailu od Googlu.