WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Facebook vá lỗi cho phép hacker xóa video
Gần đây, Facebook đã vá lỗi có thể cho phép hacker xóa bất kỳ video nào được người dùng chia sẻ trên tường của mình.
Theo nhà nghiên cứu an ninh Dan Melamed, ông đã phát hiện ra lỗ hổng này từ tháng 6/2016. Ông đã thử nghiệm lỗi để tìm ra mức độ ảnh hưởng và thấy rằng một người từ xa không chỉ có thể xóa bất kỳ video trên Facebook mà còn có thể vô hiệu hóa phần comment về video đó.
Năm ngoái, một lỗ hổng tương tự đã được công bố bởi nhà nghiên cứu an ninh Pranav Hivarekar, người phát hiện ra cách thức đính kèm video của nạn nhân vào phần bình luận để xóa nó đi.
Phương pháp của Melmed có phức tạp hơn một chút, nhưng lại cho thấy mức độ nghiêm trọng của lỗ hổng. Melmed khởi tạo một sự kiện công cộng trên Facebook hoặc truy cập bất kỳ sự kiện nào, sau đó đến tab Thảo luận và tạo một sự kiện bằng cách tải lên một bức ảnh hoặc video.
Trong khi tải video lên, Melmed giả mạo truy vấn POST và thay thế các giá trị ID Video trên video của mình với giá trị ID Video của bất kỳ video khác trên nền tảng truyền thông xã hội, trong trường hợp này là video của nạn nhân bạn muốn xóa. Facebook sẽ hiển thị lỗi cho biết nội dung không còn nữa. Tuy nhiên, video lại được đăng thành công.
Các nhà nghiên cứu sau đó đã xóa bài sự kiện của mình, trong đó xóa cả video đính kèm. Do lỗi ông phát hiện ra, bản gốc của video cũng sẽ bị gỡ khỏi Facebook.
Melmed cho hay ông đã phát hiện ra cách thức vô hiệu hóa comment về bất kỳ video nào và nói thêm có một trình kéo xuống mà bạn có thể tìm thấy nút "Tắt comment" để vô hiệu hóa comment về các video mà bạn muốn. Melmed cũng ghi lại cách thức lỗi hoạt động trong video dưới đây.
[video=youtube;GlY_I2ZnNt8]https://www.youtube.com/watch?v=GlY_I2ZnNt8[/video]
Lỗ hổng này đã được báo cáo đến Facebook và đã được vá vào đầu năm nay. Đồng thời, Melmed cũng nhận được khoản tiền thưởng 10.000 USD nhờ việc phát hiện lỗ hổng.
Theo nhà nghiên cứu an ninh Dan Melamed, ông đã phát hiện ra lỗ hổng này từ tháng 6/2016. Ông đã thử nghiệm lỗi để tìm ra mức độ ảnh hưởng và thấy rằng một người từ xa không chỉ có thể xóa bất kỳ video trên Facebook mà còn có thể vô hiệu hóa phần comment về video đó.
Năm ngoái, một lỗ hổng tương tự đã được công bố bởi nhà nghiên cứu an ninh Pranav Hivarekar, người phát hiện ra cách thức đính kèm video của nạn nhân vào phần bình luận để xóa nó đi.
Phương pháp của Melmed có phức tạp hơn một chút, nhưng lại cho thấy mức độ nghiêm trọng của lỗ hổng. Melmed khởi tạo một sự kiện công cộng trên Facebook hoặc truy cập bất kỳ sự kiện nào, sau đó đến tab Thảo luận và tạo một sự kiện bằng cách tải lên một bức ảnh hoặc video.
Trong khi tải video lên, Melmed giả mạo truy vấn POST và thay thế các giá trị ID Video trên video của mình với giá trị ID Video của bất kỳ video khác trên nền tảng truyền thông xã hội, trong trường hợp này là video của nạn nhân bạn muốn xóa. Facebook sẽ hiển thị lỗi cho biết nội dung không còn nữa. Tuy nhiên, video lại được đăng thành công.
Các nhà nghiên cứu sau đó đã xóa bài sự kiện của mình, trong đó xóa cả video đính kèm. Do lỗi ông phát hiện ra, bản gốc của video cũng sẽ bị gỡ khỏi Facebook.
Melmed cho hay ông đã phát hiện ra cách thức vô hiệu hóa comment về bất kỳ video nào và nói thêm có một trình kéo xuống mà bạn có thể tìm thấy nút "Tắt comment" để vô hiệu hóa comment về các video mà bạn muốn. Melmed cũng ghi lại cách thức lỗi hoạt động trong video dưới đây.
[video=youtube;GlY_I2ZnNt8]https://www.youtube.com/watch?v=GlY_I2ZnNt8[/video]
Lỗ hổng này đã được báo cáo đến Facebook và đã được vá vào đầu năm nay. Đồng thời, Melmed cũng nhận được khoản tiền thưởng 10.000 USD nhờ việc phát hiện lỗ hổng.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: