Bug no Facebook permite excluir fotos

Pesquisador descobre que bug no Facebook permite excluir fotos de forma muito simples que qualquer pessoa poderia fazer, veja aqui os detalhes.

[ad#texto]

Que o Facebook nunca foi um centro de segurança digital todos já sabem, o problema é que o pesquisador Laxman Muthiyah descobriu que um bug no Facebook permite excluir fotos de qualquer usuário sem consentimento.

Bug no Facebook permite excluir fotos
Bug no Facebook permite excluir fotos

A forma como o bug foi descoberto é bem interessante, pois o pesquisador estava trabalhando com a API do Facebook e pensou em “testa-la” para ver se seria de fato possível apagar fotos ou álbuns de fotos sem que o usuário permitisse e não foi que ele conseguir de forma relativamente fácil burlar o sistema e excluir álbuns de fotos completos.

Veja nas suas próprias palavras:

Eu decidi tentar isso com o token de acesso para o Facebook móvel, porque podemos ver a opção para excluir todos os álbuns de fotos no aplicativo móvel do Facebook, não é? Sim, e ele também usa a mesma Graph API. Então eu peguei o código numérico de um álbum e um dos meus tokens de acesso do Facebook para Android, e tentei fazer isso.

Bug no Facebook permite excluir fotos: explicando os atores

O primeiro passo é conseguir um token. Para quem não sabe o token no Facebook é gerado quando um usuário permite que um aplicativo acesse seu perfil, neste momento é gerada uma sequencia de letras e números que irá atuar como uma espécie de agente liberador do acesso daquele perfil.

No caso explicado aqui foi utilizado um token gerado para o App do Facebook no Android.

O segundo passo foi observara URL ao acessar um álbum de fotos qualquer, podemos perceber que uma sequencia numérica é utilizada para identificar aquele álbum, e o pior é que este número é sequencia, o que facilitaria a utilização de um bot, por exemplo.

Bug no Facebook permite excluir fotos: explorando a falha de segurança

Com tudo em mãos explorar a falha de segurança é muito simples, basta enviar uma requisição informando o comando DELETE (para apagar) e passar o token e o número sequencial do algum de fotos, veja um exemplo:

Request :-

DELETE /(sequencial álbum de fotos) HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
access_token=(sequencia do token)

E pronto, os servidores do Facebook irá responder que tudo foi processado com sucesso e depois basta acessar o próprio Facebook para confirmar que o álbum de fotos foi realmente excluído.

Bug no Facebook permite excluir fotos: o que o pesquisador fez

Tendo identificado a falha de segurança ele informou a equipe do Facebook que resolveu o problema em aproximadamente duas horas, em seguida ele recebeu US$ 12.500,00 como recompensa por ter descoberto e avisado o Facebook da falha.

É provável que ela não possa ser mais explorada, mas ainda podemos analisar e verificar que o fator segurança sempre foi negligenciado pelo Facebook e parece que pouca coisa mudou.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.