image

Facebook verhelpt kwetsbaarheid met 'onzichtbare' berichten

maandag 18 januari 2021, 11:50 door Redactie, 3 reacties

Facebook heeft een kwetsbaarheid verholpen waardoor het mogelijk was om 'onzichtbare' berichten aan willekeurige Facebookpagina's toe te voegen, zonder dat een aanvaller over enige rechten hoefde te beschikken. Kwaadwillenden zouden de kwetsbaarheid hebben kunnen misbruiken voor scams en het verspreiden van malware.

Facebook biedt naast de mogelijkheid van berichten en pagina's die in de tijdlijn verschijnen ook een optie voor "unlisted" berichten. Deze berichten verschijnen niet in de tijdlijn en zijn alleen toegankelijk als de url bekend is. Beveiligingsonderzoeker Pouya Darabi ontdekte een manier om deze berichten aan willekeurige Facebookpagina's toe te voegen.

Via de Creative Hub van Facebook kunnen gebruikers advertenties voor Facebook, Instagram en Messenger maken en bekijken. Facebook maakt dan een onzichtbaar bericht als preview aan, zodat het resultaat kan worden bekeken voordat het wordt gepubliceerd. Deze onzichtbare pagina, die over een link en een ID beschikt, kan via de "Share Feature" met andere gebruikers worden gedeeld, zodat die de pagina kunnen bekijken.

Bij deze feature bleek Facebook niet te controleren of de gebruiker wel rechten had om een bericht aan te maken en te delen op de opgeven Facebookpagina. Door het page_id te veranderen in het page_id van een willekeurige Facebookpagina kon zo het onzichtbare bericht worden toegevoegd. "De grootste impact van dergelijke berichten is dat de beheerder die niet kan bekijken of verwijderen, aangezien die niet over de link beschikt", laat Darabi weten.

De onderzoeker meldde het probleem op 6 november aan Facebook, waarna op 11 november er een fix werd uitgerold. Facebook beloonde de onderzoeker voor zijn melding met 15.000 dollar. Darabi ontdekte echter een manier om de fix van Facebook te omzeilen en rapporteerde dit aan de sociale netwerksite. Die beloonde de onderzoeker wederom met 15.000 dollar voor zijn melding.

Reacties (3)
18-01-2021, 12:07 door Anoniem
Mooi bedrag en mooie exploit. Kon misbruikt worden om een pak meer geld te stelen.
18-01-2021, 12:49 door Anoniem
Facebook was dat ooit zo iets als Hyves maar dan veel slechter?
18-01-2021, 13:34 door Anoniem
"De grootste impact van dergelijke berichten is dat de beheerder die niet kan bekijken of verwijderen, aangezien die niet over de link beschikt", laat Darabi weten.

De grootste impact is dat een derde partij kan kijken of een tweede partij een bepaalde facebook pagina bezoekt, zonder dat de eerste en tweede partijen dat weten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.