Уязвимость в новом дизайне Facebook можно использовать для удаления фото профиля любого пользователя. Речь идет о дизайне FB5, который соцсеть представила в апреле на конференции F8. О проблеме сообщил исследователь в области кибербезопасности Филипе Хэрвуд.
По словам Хэрвуда, в новом дизайне сайта для удаления фото профиля задействуется вызов GraphQL. Именно этот механизм можно использовать в злонамеренных целях, считает эксперт.
«Имя GraphQL-вызова для этих конкретных целей — profile_picture_remove. В обычных обстоятельствах этот вызов должен принять идентификатор страницы в поле profile_id. При смене этого идентификатора на ID профиля любого пользователя злоумышленник сможет удалить фото его профиля», — пишет Хэрвуд в блоге.
Стоит отметить, что удаление фото не происходит бесповоротно — при желании пострадавший юзер сможет вернуть его. Филипе Хэрвуд опубликовал PoC-код, с помощью которого можно использовать этот баг.
Facebook подтвердил наличие проблемы и выплатил исследователю $2500.
Напомним, что Facebook также наградил команду исследователей из Германии суммой в $100 000 за создание новой техники изоляции кода, которую можно использовать для защиты конфиденциальных данных в момент их обработки.
