Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng đồng bộ ảnh trên Facebook
Nếu bạn đã kích hoạt tính năng Đồng bộ ảnh Facebook trên thiết bị iPhone, iPad hoặc Android, thì hãy cẩn trọng, bởi tin tặc có thể lấy cắp ảnh cá nhân mà bạn không hề hay biết.
Năm 2012, Facebook giới thiệu tính năng Đồng bộ ảnh Facebook cho các thiết bị iPhone, iPad và Android, cho phép Facebook tự động đồng bộ toàn bộ ảnh được lưu trên thiết bị của người dùng với tài khoản Facebook.
Các ảnh mà người dùng đã đồng bộ từ điện thoại sẽ tự động tải lên Facebook thành một album ảnh riêng tư mà bạn bè hoặc người dùng khác trên Facebook không nhìn thấy. Tuy nhiên, sau đó người dùng có thể chọn chế độ chia sẻ các ảnh trong album này trên “dòng thời gian” (timeline) hoặc gửi các ảnh đó như một tin nhắn đến bạn bè.
Lỗ hổng nghiêm trọng được phát hiện bởi Laxman Muthiyah, tồn tại trong tính năng Đồng bộ ảnh Facebook và Facebook API, cho phép ứng dụng bất kỳ của bên thứ ba truy cập các ảnh từ một album Đồng bộ ảnh Facebook ẩn.
Điều này gợi nhắc đến vụ lộ lọt ảnh nhạy cảm của hàng loạt sao Hollywood thời gian gần đây.
Laxman giải thích rằng lỗ hổng trong cơ chế đặc quyền cho phép các ứng dụng truy cập vào các ảnh đồng bộ thông qua sử dụng vaultimages API.
“Phần tồn tại lỗ hổng chỉ kiểm tra sở hữu của token truy cập và không kiểm tra ứng dụng tạo truy vấn. Điều này cho phép bất kỳ ứng dụng nào cũng có thể đọc ảnh trên thiết bị điện thoại của người dùng”, Laxman cho biết.
Về kỹ thuật, album ảnh cá nhân đã đồng bộ chỉ nên được truy cập bởi ứng dụng chính thống của Facebook, nhưng lỗ hổng cho phép bất kỳ ứng dụng của bên thứ ba nào được phép đọc các ảnh đã đồng bộ.
Trước đây, Laxman đã tiết lộ một lỗ hổng trong cơ chế Graph API của Facebook, cho phép xóa album ảnh của người dùng, trang hoặc nhóm bất kỳ.
Cách tắt tính năng đồng bộ tự động
Mặc dù Facebook đã vá lỗ hổng và tặng thưởng cho Laxman 10.000$ cho việc phát hiện lỗ hổng, người dùng Facebook được khuyến cáo nên tắt tính năng Đồng bộ ảnh Facebook để đảm bảo an ninh hơn.
Để tắt tính năng này, người dùng vào menu ứng dụng điện thoại (mobile app) của Facebook, kéo xuống và chọn Account > App Settings > Sync Photos, và chọn ‘Don’t sync my photos’.
Năm 2012, Facebook giới thiệu tính năng Đồng bộ ảnh Facebook cho các thiết bị iPhone, iPad và Android, cho phép Facebook tự động đồng bộ toàn bộ ảnh được lưu trên thiết bị của người dùng với tài khoản Facebook.
Các ảnh mà người dùng đã đồng bộ từ điện thoại sẽ tự động tải lên Facebook thành một album ảnh riêng tư mà bạn bè hoặc người dùng khác trên Facebook không nhìn thấy. Tuy nhiên, sau đó người dùng có thể chọn chế độ chia sẻ các ảnh trong album này trên “dòng thời gian” (timeline) hoặc gửi các ảnh đó như một tin nhắn đến bạn bè.
Lỗ hổng nghiêm trọng được phát hiện bởi Laxman Muthiyah, tồn tại trong tính năng Đồng bộ ảnh Facebook và Facebook API, cho phép ứng dụng bất kỳ của bên thứ ba truy cập các ảnh từ một album Đồng bộ ảnh Facebook ẩn.
Điều này gợi nhắc đến vụ lộ lọt ảnh nhạy cảm của hàng loạt sao Hollywood thời gian gần đây.
Laxman giải thích rằng lỗ hổng trong cơ chế đặc quyền cho phép các ứng dụng truy cập vào các ảnh đồng bộ thông qua sử dụng vaultimages API.
“Phần tồn tại lỗ hổng chỉ kiểm tra sở hữu của token truy cập và không kiểm tra ứng dụng tạo truy vấn. Điều này cho phép bất kỳ ứng dụng nào cũng có thể đọc ảnh trên thiết bị điện thoại của người dùng”, Laxman cho biết.
Về kỹ thuật, album ảnh cá nhân đã đồng bộ chỉ nên được truy cập bởi ứng dụng chính thống của Facebook, nhưng lỗ hổng cho phép bất kỳ ứng dụng của bên thứ ba nào được phép đọc các ảnh đã đồng bộ.
Trước đây, Laxman đã tiết lộ một lỗ hổng trong cơ chế Graph API của Facebook, cho phép xóa album ảnh của người dùng, trang hoặc nhóm bất kỳ.
Cách tắt tính năng đồng bộ tự động
Mặc dù Facebook đã vá lỗ hổng và tặng thưởng cho Laxman 10.000$ cho việc phát hiện lỗ hổng, người dùng Facebook được khuyến cáo nên tắt tính năng Đồng bộ ảnh Facebook để đảm bảo an ninh hơn.
Để tắt tính năng này, người dùng vào menu ứng dụng điện thoại (mobile app) của Facebook, kéo xuống và chọn Account > App Settings > Sync Photos, và chọn ‘Don’t sync my photos’.
Nguồn: The Hacker News