Найден баг, позволяющий взламывать страницы групп в Facebook

Александр Панасенко 02 Сентября 2015 - 12:23

...

Индийский специалист по безопасности Лаксман Мутиях (Laxman Muthiyah) неоднократно зарабатывал неплохие деньги на программах вознаграждения за найденные уязвимости. Мутиях дважды находил дыры в коде Facebook. Нашел он и третью.

Баг позволяет взламывать так называемые Facebook business pages, то есть страницы компаний и различных сообществ.

Ранее Мутиях уже находил уязвимость, позволявшую удалять чужие фотоальбомы, за что получил от социальной сети $12 500. Затем, буквально месяц спустя, он обнаружил брешь в Facebook Photo Sync feature и заработал еще $10 000. А теперь Мутиях нашел баг, при помощи которого можно взломать страницы, принадлежащие различным фирмам и сообществам, то есть страницы, которыми управляет не один пользователь, сообщает xakep.ru.

Мутиях рассказал в своем блоге, что сторонние приложения могут получить практически полный контроль над Facebook-страницей. В итоге, это может привести к тому, что жертва полностью утратит свои права администратора.

Сторонним приложениям разрешено производить практически любые операции, в том числе, публиковать статусы от имени пользователя, публиковать фото, выполнять другие задачи, однако Facebook, казалось бы, не позволяет им добавлять кого-либо в список администраторов страницы или модифицировать его.

Зато Facebook позволяет администраторам присваивать различные роли людям, состоящим в организации\группе, через manage_pages – специальное разрешение доступа, запрашиваемое сторонними приложениями. Из-за этого, по словам исследователя, атакующий, при помощи простой последовательности запросов, может сделать себя админом определенной страницы Facebook.

Выглядеть это будет примерно так:

POST /PGID/userpermissions HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
role=MANAGER&user=X&business=B&access_token=<application_access_token>

В данном примере страница PGID принадлежит компании B. Используя запрос manage_pages, можно присвоить пользователю X статус MANAGER, то есть сделать его администратором данной страницы. Фактически, атакующий может получить полный контроль над аккаунтом.

Чтобы удалить саму жертву из списка администраторов, тоже не потребуется много манипуляций:

Delete /<page_id>/userpermissions HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
user=<target_user_id>&access_token=<application_access_token>

Исследователь уже сообщил о проблеме в Facebook и получил причитающиеся ему $2500 вознаграждения. Социальная сеть, в свою очередь, отчиталась об устранении бага. Тем не менее, Мутиях рекомендует всем пользователям внимательно следить за тем, какой доступ и к чему именно они предоставляют сторонним приложениям.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 15:45

Android Эксплойты Трояны Шпионские программы Программы слежения Целевые атаки Уязвимость нулевого дня Таргетированные атаки Домашние пользователи Palo Alto Networks

Android-шпион Landfall год следил за владельцами Samsung Galaxy

Эксперты Palo Alto Networks Unit 42 обнаружили новый шпионский софт для Android, который на протяжении почти года тайно заражал смартфоны Samsung Galaxy. Вредонос получил имя Landfall. Исследователи выяснили, что Landfall использовал 0-day (CVE-2025-21042) в программном обеспечении Galaxy. На момент атаки Samsung о ней не знала.

Для заражения злоумышленникам было достаточно отправить жертве изображение, специально подготовленное для эксплуатации уязвимости — без необходимости что-либо открывать или нажимать.

Компания закрыла дыру только в апреле 2025 года, однако атаки, по данным Unit 42, начались ещё в июле 2024-го.

По словам исследователя Итая Коэна, кибероперации были «точечными» и нацеливались на конкретных людей, а не на массовое распространение вредоноса. Это говорит о том, что речь идёт о таргетированных атаках, вероятно с элементами киберразведки.

Landfall, как и другие правительственные шпионские инструменты, мог получать доступ к данным жертвы, включая фотографии, сообщения, контакты, звонки, а также включать микрофон и отслеживать геолокацию.

Семплы вредоноса были загружены на VirusTotal пользователями из Марокко, Ирана, Ирака и Турции. Турецкая команда реагирования USOM уже признала один из IP-адресов, связанных с Landfall, вредоносным. Это подтверждает, что атаки могли затронуть пользователей в Турции.

Интересная деталь: инфраструктура, используемая в кампании Landfall, пересекается с инфраструктурой шпионского проекта Stealth Falcon, который ранее применялся против журналистов и активистов из ОАЭ. Однако доказательств, позволяющих напрямую связать Landfall с этим актором, пока нет.

Код Landfall содержит упоминания пяти моделей Galaxy, включая S22, S23, S24 и некоторые Z-модели. По данным Unit 42, уязвимость могла также затрагивать другие устройства Samsung с Android 13–15.

Компания Samsung пока не прокомментировала результаты расследования.