Descubren un fallo en Facebook que dejaba al descubierto las fotos privadas
Vía elEconomista.
Un investigador llamado Laxman Muthiyah ha descubierto una vulnerabilidad en Facebook que es capaz de mostrar las fotos privadas de los usuarios. Y es que aunque los miembros de la red social no sean conscientes, Facebook tiene la capacidad de sincronizar las fotografías que se guardan en la galería del teléfono con la web.
Dichas imágenes se guardan en un álbum privado al que supuestamente sólo nosotros podemos acceder y en donde podemos elegir las fotos que queremos mostrar a nuestros amigos.
Sin embargo, según informa este investigador en su propio blog personal, hay un fallo en el sistema que permite utilizar cualquier otra aplicación ajena a la red de Mark Zuckerberg para abrir los álbumes privados. "El servicio de Facebook comprueba únicamente el propietario del token de acceso, pero no constata qué aplicación es la que hace la solicitud", ha explicado en su blog.
De este modo, cualquier aplicación con el permiso "user_photos" sería capaz de leer las fotografías de nuestro móvil. Al parecer, el problema ya ha sido solucionado y Facebook ha pagado 10.000 dólares a este investigador por descubrir la vulnerabilidad.
No es la primera vulnerabilidad que descubre Muthiyah y es que el pasado mes de febrero encontró un fallo que permitía borrar cualquier foto o álbum de los usuarios que se conectaran a través de su smartphone a la red social. Muthiyah comunicó rápidamente a Facebook el bug y la compañía le respondió sólo dos horas después informándole de que ya había solucionado el fallo y ofreciéndole 12.500 dólares por haberlos ayudado.
Dichas imágenes se guardan en un álbum privado al que supuestamente sólo nosotros podemos acceder y en donde podemos elegir las fotos que queremos mostrar a nuestros amigos.
Sin embargo, según informa este investigador en su propio blog personal, hay un fallo en el sistema que permite utilizar cualquier otra aplicación ajena a la red de Mark Zuckerberg para abrir los álbumes privados. "El servicio de Facebook comprueba únicamente el propietario del token de acceso, pero no constata qué aplicación es la que hace la solicitud", ha explicado en su blog.
De este modo, cualquier aplicación con el permiso "user_photos" sería capaz de leer las fotografías de nuestro móvil. Al parecer, el problema ya ha sido solucionado y Facebook ha pagado 10.000 dólares a este investigador por descubrir la vulnerabilidad.
No es la primera vulnerabilidad que descubre Muthiyah y es que el pasado mes de febrero encontró un fallo que permitía borrar cualquier foto o álbum de los usuarios que se conectaran a través de su smartphone a la red social. Muthiyah comunicó rápidamente a Facebook el bug y la compañía le respondió sólo dos horas después informándole de que ya había solucionado el fallo y ofreciéndole 12.500 dólares por haberlos ayudado.
No hay comentarios:
Publicar un comentario