포스팅 내용

국내외 보안동향

[해외보안동향] 다른 사용자의 포토 앨범을 삭제할 수 있는 페이스북 취약점

다른 사용자의 포토 앨범을 삭제할 수 있는 페이스북 취약점

Facebook Vulnerability Allows Hacker to Delete Any Photo Album

  

최근, 페이스북의 심각한 취약점이 보고되었습니다. 이 취약점은 권한이 없는 누구라도 페이스북의 포토 앨범을 삭제할 수 있습니다. 


안전문가 Laxman Muthiyah는 이 취약점이 페이스북의 그래프 API 메커니즘에 존재하며, 해커가 자신의 것이 아닌 타인의 페이스북 포토 앨범도 삭제할 수 있다고 밝혔습니다.

  

일반적으로 페이스북 그래프 API는 사용자 데이터를 읽고 쓰기 위해 접근 토큰(access token)을 요구합니다. 이는 앱에 제한된 접근을 제공합니다. 하지만 Laxman은 모바일 버전을 위해 생성된 그의 접근 토큰을 악용하면, 다른 페이스북 사용자의 포토 앨범을 삭제할 수 있다는 사실을 알아냈습니다.

   

공격자는 다른 사용자의 페이스북 포토 앨범을 삭제하기 위해서, 타겟의 포토 앨범 ID와 공격자가 생성한 ‘안드로이드 페이스북 앱’용 접근 토큰과 함께 HTTP 기반의 그래프 API 요청을 보내기만 하면 됩니다. 페이스북 버그 바운티 프로그램에서는 그에게 이 크리티컬한 결점을 제보한 대가로 한화 1,400만 원 상당의 상금을 지급하였습니다.

  

※ 샘플 요청

Request :-

DELETE /<Victim's_photo_album_id> HTTP/1.1

Host : graph.facebook.com 

Content-Length: 245

access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>



출처: 

http://thehackernews.com/2015/02/hacking-facebook-photo-album.html


관련기사:

https://nakedsecurity.sophos.com/2015/02/12/how-one-man-could-have-deleted-every-photo-on-facebook/

http://www.7xter.com/2015/02/how-i-hacked-your-facebook-photos.html

티스토리 방명록 작성
name password homepage