Facebook har i en nylig oppdatering av selskapet applikasjoner for Android fjernet to ganske alvorlige sårbarheter. Både hovedapplikasjonen og Facebook Messenger-applikasjon skal ha gjort det mulig for alle andre applikasjoner på enheten å lese brukerens Facebook «access_token» og dermed kapre hele kontoen.
Dette skriver den egyptiske sikkerhetsforskeren Mohamed Ramadan i et blogginnlegg.
Den første sårbarheten skal dog bare ha vært tilgjengelig under en gitt situasjon, nemlig når man som bruker mottar åpner en Facebook-melding fra en kontakt og denne meldingen inneholder et vedlegg i form av en fil.
I disse tilfellene ble den aktuelle identifikatoren, Facebooks «access_token», gjort tilgjengelig for logcat, loggsystemet i Android.
Den andre sårbarheten ligner den første, men er knyttet til en annen Facebook-applikasjon, Facebook Pages Manager for Android. Også denne applikasjonen lekket Facebooks «access_token», men denne sårbarheten krevde bare at brukeren var innlogget med applikasjonen, uten å måtte gjøre spesielle handlinger.
Flere detaljer om sårbarhetene er omtalt i Ramadans blogginnlegg, inkludert en video som demonstrerer hvordan den sistnevnte sårbarheten kunne utnyttes.
Ramadan gjengir i blogginnlegget e-postmeldinger fra Facebook som forteller at han til sammen har fått 6000 dollar i dusør for opplyse selskapet om disse sårbarhetene på en ansvarlig måte.
Les også:
- [11.11.2013] Webrivaler sammen om ny dusørordning
