台灣一位19歲工程師發現Facebook新漏洞,只要修改臉書主控台收到的通知訊息,就可任意刪除他人Facebook的動態訊息,部份網友質疑該漏洞為國外先前發現的舊漏洞,但趨勢科技認為是新漏洞,只是其影響風險相當有限。
現年19歲目前在愛迪生創意科技公司擔任工程師的張啟元發現,透過修改Facebook通知訊息程式碼參數,就能刪除別人Facebook上張貼的動態訊息,他雖向Facebook舉報該漏洞但沒有獲得認同,因此以該手法刪除Facebook創辦人Mark Zuckerberg文章,將刪除過程錄影分享到YouTube,經PPT揭露後引起關注,國內媒體並紛紛報導。
不少網友推崇張姓工程師的能力,但也有許多網友質疑其手法抄襲他人,且利用的是先前國外研究人員揭露的Facebook漏洞,該漏洞可隨意刪除他人Facebook照片,網友批評張姓工程師發現的並非不是新漏洞,而是前人已發現的漏洞。
網友舉出兩個近期被發現的Facebook類似漏洞,一個是巴勒斯坦研究人員Khalil Shreateh所發現,利用該漏洞可在他人的Facebook上張貼任何文章,Shreateh因為向Facebook官方反應不被認可,轉而在Zuckerberg的Facebook上張貼文章而引起關注。
另一個則是印度安全研究人員Arul Kumar所發現,他利用向另一個帳號發出刪除照片請求,從另一個帳號取得刪除照片連結,修改連結程式碼中參數,可刪除他人Facebook上的照片,他向Facebook舉報後被認可,並獲得1.25萬美元獎金,Facebook並已修補該漏洞。
對於網友的質疑,趨勢科技分析之後指出,兩者手法雖有相似之處,但從掌握的資料來看為新的漏洞。
趨勢說明,當A用戶向Facebook檢舉B用戶張貼的照片涉及色情暴力,可向Facebook舉報或直接向B用戶請求刪除照片。Kumar和張姓工程師都是利用Facebook的支援儀表板(support dashboard)的相關功能。
Kumar的手法是由一人分飾A與B兩個用戶,由A直接通知B刪除照片,這時Facebook會發出通知訊息給B,Kumar再以事先從公開資訊中蒐集到的照片ID資訊,在支援主控台中修改通知訊息程式碼參數,達到刪除他人照片的目的。
張姓工程師的情景則不同,由A向Facebook舉報B的照片有問題,Facebook認為照片沒問題時會回報通知說照片沒有問題,由於通知訊息中的按鈕程式碼有漏洞,攻擊者在主控台修改參數就能刪除其他用戶訊息。
趨勢科技資深技術顧問簡勝財表示,兩個漏洞攻擊手法有相似之處,同樣利用舉報及支援主控台收到的通知訊息,並且必需蒐集ID資訊修改程式碼,但攻擊的情形卻不相同,張姓工程師發現的是新漏洞,顯示Facebook在權限控制上有問題,只需修改參數便能刪除他人動態,門檻較低,不過該手法需先蒐集到他人ID資訊,用戶只要設定只對好友顯示就能避免,由於該漏洞沒有大量擴散風險,影響程度有限。
想掌握最新IT動態,歡迎按贊加入iThome粉絲團
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
