SIMonline

Сервис приема & отправки SMS

Хакер заработал $10 000 на GIF-атаке в Facebook Messenger

202   |     /   Security

Хакер заработал $10 000 на GIF-атаке в Facebook Messenger
Хакер заработал 10 000 долларов на Facebook в прошлом году за обнаружение уязвимости Messenger, которая, очевидно, могла быть использована для случайного получения изображений других пользователей.



Приобретите виртуальный номер для регистрации facebook и создавайте аккаунты без привязки личного номера телефона.

В феврале 2018 года Дмитрий Лукьяненко, исследователь, специализирующийся на безопасности приложений Android, решил проверить, как Facebook Messenger для Android обрабатывает испорченные файлы GIF.

Вдохновленный одной из уязвимостей, обнаруженных еще в 2016 году в популярном пакете обработки изображений ImageMagick, Лукьяненко сгенерировал несколько файлов GIF, чтобы посмотреть, как они были обработаны.

Он нашел способ заставить приложение аварийно завершить работу, но Facebook не выплатил вознаграждение за этот недостаток DoS. Тем не менее, исследователь заметил, что тестовый GIF-файл, который он загрузил в Messenger, который не должен был содержать фактическое изображение, отображался как то, что он назвал «странным изображением», когда приложение открывалось в веб-браузере на ноутбуке. ,

Он поиграл с размером GIF, и изображение было похоже на экран старых телевизоров, когда не было сигнала. После нескольких тестов его GIF отображал искаженную версию реального изображения.

Именно тогда он понял, что на самом деле получает данные с изображения, ранее загруженного другим пользователем, что он назвал проблемой «случайного воздействия на память».

Хотя Лукьяненко не доказал, что уязвимость могла быть надежно использована для получения конфиденциальных данных, Facebook, похоже, определил, что это серьезная дыра в безопасности, и решил назначить ему награду в размере 10 000 долларов. Гигант социальных сетей выпустил исправление менее чем через две недели после получения информации об ошибке в конце февраля 2018 года.

Пользователи предположили, что Reddit является причиной уязвимости, и некоторые признали, что это могло иметь серьезные последствия для безопасности.

«Он восстановил большую часть чужого воображения. Представьте, что это была фотография ваших детей, которую вы отправляли в частном порядке семье или что-то в этом роде. Это довольно серьезная уязвимость, даже если ее можно использовать только для извлечения недавно загруженных изображений», - отметил один из пользователей Reddit.

Лукьяненко опубликовал в своем блоге сообщение с подробностями своих выводов, а также видео, показывающее эксплойт в действии.


В 2017 году Facebook наградил исследователя 40 000 долларов за уязвимость удаленного выполнения кода, представленную ImageMagick.


Похожие новости


Facebook закрывает VPN-приложение, позволяющее шпионить за пользователями

Facebook находится в процессе устранения еще одного беспорядка в сфере конфиденциальности. На этот раз компания объявила о закрытии приложения VPN, которое шпионило за его пользователями.

Microsoft Patch Tuesday устраняет более 60 уязвимостей вашего ПК

Обновления Microsoft Patch Tuesday за март 2019 года устраняют более 60 уязвимостей, в том числе два недостатка Windows нулевого дня, которые использовались в целевых атаках.

Продажа сертификатов SSL / TLS в Dark Web

Сертификаты SSL, TLS и связанные с ними услуги могут быть легко получены на темных веб-площадках, согласно академическому исследованию, спонсируемому Venafi, компанией, специализирующейся на защите криптографических ключей и цифровых сертификатов.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2018 - 2020

All rights reserved