عثر باحث أمني على ثغرة أمنية في ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، التي يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE)، وهو ما دفع فيس بوك لمنح هذا الباحث 10 آلاف دولار مقابل العثور على الخطأ، حيث يستخدم تطبيق فيس بوك على أندرويد طريقتين لتنزيل الملفات من مجموعة – خدمة أندرويد مضمنة تسمى DownloadManager وطريقة ثانية تسمى Files Tab.
وبحسب موقع “TOI” الهندي، فقد اكتشف الباحث الأمني سيد عبد الحفيظ، مصري الجنسية، خللاً في عملية التحميل بالطريقة الثانية، وقال في منشور على موقع Medium: “اكتشفت وجود خطأ ACE على فيس بوك لنظام أندرويد يمكن فرزه من خلال ملف تنزيل من مجموعة Files Tab دون فتح الملف، وقد كانت الثغرة الأمنية في الطريقة الثانية، وبينما تم تنفيذ الإجراءات الأمنية على جانب الخادم عند تحميل الملفات، كان من السهل تجاوزها.
وأوضح عبد الحفيظ كيف مكّن خلل تبويب الملفات الباحث من شن هجمات RCE على جهاز مستهدف، وتم الآن إصلاح الثغرة الأمنية في علامة تبويب الملفات.
وفي يونيو من هذا العام فاز الباحث الأمني Bipin Jitiya الذي يعيش في أحمد أباد بالهند بمبلغ 23.8 ألف روبية (31500 دولار) من فيس بوك لتحديد خطأ في نظامه الأساسي للشبكات الاجتماعية وبوابة استخبارات أعمال تابعة لجهة خارجية، وقد حددت Jitiya الذي يبلغ من العمر 26 عامًا، ثغرة أمنية على الويب في التزوير الداخلي للطلب من جانب الخادم (SSRF) في التعليمات البرمجية المصدر لنقطة نهاية يمكن الوصول إليها بشكل عام، تم إنشاؤها باستخدام أدوات من MicroStrategy، التي أدت إلى جمع البيانات المخصصة وإنشاء المحتوى.
وقد دخلت MicroStrategy في شراكة مع فيس بوك في مشروعات تحليل البيانات لعدة سنوات، وأبلغ جيتيا فريق الأمن في MicroStrategy عن الخطأ، الذي اعترف به، قائلاً إن المشكلة قد تم حلها، وفي مايو، حصل باحث أمني هندي يبلغ من العمر 27 عامًا بهافوك جاين على 100000 دولار من آبل لاكتشافه ثغرة Zero Day المصححة الآن في تسجيل الدخول باستخدام مصادقة حساب آبل.
اليوم السابع
التعليقات مغلقة.