臉書補了可讓駭客刪除直播影片的漏洞

臉書近日在研究人員通報後，修補了一項可讓有心人士刪除用戶直播影片的漏洞。

這項漏洞是由研究人員Ahmad Talahmeh通報。該漏洞出在臉書平臺上一項用戶從直播影片移除不必要內容的功能上。

當用戶結束直播後，他可設定起、迄兩個時戳來剪除這部份影片。原本只有使用者可以執行刪除，但研究人員發現一項瑕疵，讓有心人士可以將影片刪掉。這個漏洞發生在，當剪除影片到5毫秒以下時，會造成影片變成0秒，而原用戶無法回覆。

Talahmeh還公布了概念驗證手法。只要取得目標直播影片ID以及用戶ID，偽冒這項服務的呼叫指令，將影片終止的時間點改為5毫秒以下，再送出呼叫。雖然這個方法會引發錯誤訊息，不過最後即可成功將影片變成0秒。

Talahmeh去年9月底通報臉書後，臉書2個小時內即證實漏洞，並在9月底修補該漏洞。研究人員也因此獲得1.4萬美元抓蟲獎金。