Úvod > Články > Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Dva hackeři z konzultační společnosti XYSec objevili ve Facebooku zranitelnost, prostřednictvím které bylo možné sledovat uživatele přes jejich vlastní webovou kameru. Po dlouhých měsících od oznámení chyby nyní Facebook díru zalepil.

Zranitelnost typu CSRF (Cross Site Request Forgery) našli dva výzkumníci z firmy XYSec, Aditya Gupta a Subho Halder. Už před půl rokem varovali Facebook, jak jednoduše může útočník nahrát uživatele sedícího před počítačem a ještě toto video umístit na jeho profil. Bezpečnostní pracovníci Facebooku původně nepovažovali chybu za kritickou, ale poté, co zmínění výzkumníci uveřejnili i video s ukázkou, se rozhodli chybu opravit.

Zástupci Facebooku poslali oběma hackerům zprávu až v těchto dnech. Za objevení chyby jim slíbili odměnu 2 500 amerických dolarů (zhruba 48 tisíc korun) ve formě debetní karty White Hat, kterou Facebook vydává všem „white hat“ hackerům, jež objeví jeho v systémech bezpečnostní chyby.

Slovy obou autorů, jejich proof-of-concept útoku byl typickou ukázkou útoku na bázi CSRF, kdy dochází k napadení/zneužití internetové aplikace zasláním dotazu na servery, jako by ho provedl sám přihlášený uživatel – chybou je, že požadavek (jako je zapnutí webové kamery) systém neověřuje (zda pochází opravdu od majitele účtu). V tomto případě aplikace Facebooku tedy nevěděly, zda video přes webovou kameru chce nahrávat skutečný uživatel nebo útočník.

K úspěšnému provedení útoku bylo nutné, aby uživatel byl přihlášen do Facebooku a aby otevřel webovou stránku s kódem, který spustí nahrávání videa (právě přes Facebook). Napadený uživatel přitom vůbec neví, že ho kamera v takový okamžik začne nahrávat. Pořízené video bylo možné hned odeslat i na profil oběti.


 

7. 1. 2013

Autor: Redakce DSL.cz

Sdílejte

Přečtěte si také

 

Mafra posiluje své postavení na realitním trhu

Vydavatelství Mafra rozšířilo své portfolio o společnost AdInternet. Česká firma se specializuje na prodej realit...

 

Elop končí v Microsoftu, co s ním bude teď?

Dvaapadesátiletý Stephen Elop opustil pozici výkonného viceprezidenta Devices & Services ve společnosti Microsoft...

 

Hlídejte si své účty před kyberútoky

Kyberloupeže a útoky na účty klientů bank v České republice během posledního roku rapidně stouply. Banky posilují...

Nejčtenější články

Zpomalí vám po 17 hodině O2 Air Fix? Nebojte se ozvat!

 

Někteří zákaznici O2, kteří využívají bezdrátový neomezený internet O2 Optimal Air Fix si začali po skončení lhůty...

Jak zareaguje O2 na nové tarify od T-Mobile a Vodafone?

 

Dočkali jsme se nových neomezených tarifů od T-Mobile a od Vodafone, teď je na řadě operátor O2.

Naměřené rychlosti internetu na DSL.cz v březnu 2017

 

Rychlost mobilního LTE internetu byla v březnu nejvyšší opět u operátora Vodafone. V síti 3G je stále nejrychlejší...