Uživatele Facebooku šlo šmírovat přes jejich webovou kameru

Dva hackeři z konzultační společnosti XYSec objevili ve Facebooku zranitelnost, prostřednictvím které bylo možné sledovat uživatele přes jejich vlastní webovou kameru. Po dlouhých měsících od oznámení chyby nyní Facebook díru zalepil.

Zranitelnost typu CSRF (Cross Site Request Forgery) našli dva výzkumníci z firmy XYSec, Aditya Gupta a Subho Halder. Už před půl rokem varovali Facebook, jak jednoduše může útočník nahrát uživatele sedícího před počítačem a ještě toto video umístit na jeho profil. Bezpečnostní pracovníci Facebooku původně nepovažovali chybu za kritickou, ale poté, co zmínění výzkumníci uveřejnili i video s ukázkou, se rozhodli chybu opravit.

Zástupci Facebooku poslali oběma hackerům zprávu až v těchto dnech. Za objevení chyby jim slíbili odměnu 2 500 amerických dolarů (zhruba 48 tisíc korun) ve formě debetní karty White Hat, kterou Facebook vydává všem „white hat“ hackerům, jež objeví jeho v systémech bezpečnostní chyby.

Slovy obou autorů, jejich proof-of-concept útoku byl typickou ukázkou útoku na bázi CSRF, kdy dochází k napadení/zneužití internetové aplikace zasláním dotazu na servery, jako by ho provedl sám přihlášený uživatel – chybou je, že požadavek (jako je zapnutí webové kamery) systém neověřuje (zda pochází opravdu od majitele účtu). V tomto případě aplikace Facebooku tedy nevěděly, zda video přes webovou kameru chce nahrávat skutečný uživatel nebo útočník.

K úspěšnému provedení útoku bylo nutné, aby uživatel byl přihlášen do Facebooku a aby otevřel webovou stránku s kódem, který spustí nahrávání videa (právě přes Facebook). Napadený uživatel přitom vůbec neví, že ho kamera v takový okamžik začne nahrávat. Pořízené video bylo možné hned odeslat i na profil oběti.

7. 1. 2013

Autor: Redakce DSL.cz