SIMonline © 2019

Работаем с interkassa Мы принимаем WebMoney
SIMonline - Virtual sim cards online
info: Доступна отправка SMS!

Хакер заработал $10 000 на GIF-атаке в Facebook Messenger

Хакер заработал $10 000 на GIF-атаке в Facebook Messenger



Хакер заработал 10 000 долларов на Facebook в прошлом году за обнаружение уязвимости Messenger, которая, очевидно, могла быть использована для случайного получения изображений других пользователей.

Приобретите виртуальный номер для регистрации facebook и создавайте аккаунты без привязки личного номера телефона.

В феврале 2018 года Дмитрий Лукьяненко, исследователь, специализирующийся на безопасности приложений Android, решил проверить, как Facebook Messenger для Android обрабатывает испорченные файлы GIF.

Вдохновленный одной из уязвимостей, обнаруженных еще в 2016 году в популярном пакете обработки изображений ImageMagick, Лукьяненко сгенерировал несколько файлов GIF, чтобы посмотреть, как они были обработаны.

Он нашел способ заставить приложение аварийно завершить работу, но Facebook не выплатил вознаграждение за этот недостаток DoS. Тем не менее, исследователь заметил, что тестовый GIF-файл, который он загрузил в Messenger, который не должен был содержать фактическое изображение, отображался как то, что он назвал «странным изображением», когда приложение открывалось в веб-браузере на ноутбуке. ,

Он поиграл с размером GIF, и изображение было похоже на экран старых телевизоров, когда не было сигнала. После нескольких тестов его GIF отображал искаженную версию реального изображения.

Именно тогда он понял, что на самом деле получает данные с изображения, ранее загруженного другим пользователем, что он назвал проблемой «случайного воздействия на память».

Хотя Лукьяненко не доказал, что уязвимость могла быть надежно использована для получения конфиденциальных данных, Facebook, похоже, определил, что это серьезная дыра в безопасности, и решил назначить ему награду в размере 10 000 долларов. Гигант социальных сетей выпустил исправление менее чем через две недели после получения информации об ошибке в конце февраля 2018 года.

Пользователи предположили, что Reddit является причиной уязвимости, и некоторые признали, что это могло иметь серьезные последствия для безопасности.

«Он восстановил большую часть чужого воображения. Представьте, что это была фотография ваших детей, которую вы отправляли в частном порядке семье или что-то в этом роде. Это довольно серьезная уязвимость, даже если ее можно использовать только для извлечения недавно загруженных изображений», - отметил один из пользователей Reddit.

Лукьяненко опубликовал в своем блоге сообщение с подробностями своих выводов, а также видео, показывающее эксплойт в действии.


В 2017 году Facebook наградил исследователя 40 000 долларов за уязвимость удаленного выполнения кода, представленную ImageMagick.


2019-03-14 18:06:47


<<- Facebook закрывает VPN-приложение, позволяющее шпионить за пользователями

Firefox заимствует идею конфиденциальности браузера Tor ->>