Facebook выплатила $10 000 за GIF-атаку на Facebook Messenger

Facebook выплатила $10 000 за GIF-атаку на Facebook Messenger

Одному из «этичных хакеров» удалось получить от Facebook $10 000 за обнаружение уязвимости в Facebook Messenger. Эту брешь злоумышленник мог использовать для получения доступа к изображениям пользователя.

Еще в прошлом году эксперт Дмитрий Лукьяненко, специализирующийся на безопасности приложений для Android, решил проверить Facebook Messenger на предмет корректной обработки поврежденных GIF-файлов.

На эту мысль его натолкнула другая уязвимость — в ImageMagick, которую обнаружили в 2016 году.

Лукьяненко создал несколько специальных файлов GIF, чтобы понаблюдать за тем, как они обрабатываются. Изначально эксперту удалось добиться экстренного закрытия приложения Facebook Messenger на платформе Android. Однако Facebook не заплатила за эту DoS-дыру.

Чуть позже исследователь обратил внимание, что тестовый файл GIF, который он загрузил в Messenger, отображался, по его же собственным словам, как «странное изображение». Это происходило, если зайти в мессенджер в браузере.

Лукьяненко немного поэкспериментировал с размером изображения и получил результат, который напоминал картинку, выводимую на старых телевизорах при отсутствии сигнала.

Еще после нескольких тестов его GIF отобразился в качестве искаженной версии настоящего изображения.

Именно в этот момент специалист осознал — он получил данные изображения, которое было загружено до этого другим пользователем.

Несмотря на то, что Лукьяненко не удалось доказать, что подобный способ подходит для получения доступа к конфиденциальным данным, Facebook все же выплатила исследователю $10 000. Спустя менее чем две недели разработчики выпустили патч, который устранил данную дыру.

Технические подробности уязвимости можно узнать, прочитав блог Лукьяненко. Также он опубликовал видео, в котором демонстрируется эксплуатация данной проблемы:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Group-IB выявила накрутку 28,6% голосов в ходе конкурса CIPR Digital

Аналитики Group-IB завершили проверку хода второго, заключительного этапа голосования за соискателей престижной премии CIPR DIGITAL. Как оказалось, 28,6% голосов было отдано обманным путем.

В этом году конкурс CIPR DIGITAL впервые проводится в рамках конференции ЦИПР 2021 (Цифровая индустрия промышленной России 2021). Финальный этап голосования стартовал 17 июня и был продлен до 21 июня 2021 года.

После первого этапа голосования организаторы конкурса стали получать жалобы о накрутке голосов, поэтому для анализа результатов второго этапа было решено использовать решение Fraud Hunting Platform (FHP) производства Group-IB. Для проведения дополнительных проверок были привлечены аналитики ИБ-компании.

В итоге оказалось, что больше четверти голосов на заключительном этапе являлись результатом накрутки. У некоторых участников голосования этот показатель превысил 50%.

Суммарно голоса подавались с 125 543 уникальных устройств. В некоторых случаях участники многократно голосовали за кандидата с одного и того же устройства; более искушенные подменяли параметры пользовательского окружения. Выявлены также случаи использования программ-роботов и специализированных сервисов накрутки.

«Система FHP была выбрана Оргкомитетом ЦИПР для анализа наиболее важного второго и заключительного этапа голосования, поскольку организаторы стали получать жалобы от номинантов о накрутке голосов, — комментирует Павел Крылов, руководитель направления по противодействию онлайн-мошенничеству в GIB. — Система FHP использует концепцию Zero Trust, что означает полное отсутствие доверия кому-либо или чему-либо. То есть даже если пользователь прошел captcha и другие проверки системы, FHP продолжала анализировать каждое его действие. В рамках оперативного анализа после завершения голосования мы выявили накрутку 28,6% голосов, как с помощью ботов, так и по аномальной «человеческой» активности. Отчет с детализацией по проверке передан в Оргкомитет премии для принятия дальнейшего решения».

По предварительному уговору, все результаты подтасовки будут вычеркнуты при финальном подсчете голосов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru