Vulnerabilidad en Facebook permite borrar cualquier video

Una vulnerabilidad en Facebook permite eliminar videos en Facebook de cualquier “Timeline” de usuario mediante el abuso de una “vulnerabilidad lógica.” La vulnerabilidad crítica fue descubierta por un investigador de seguridad de la India, Pranav Hivarekar, quien encontró que el fallo le permitia eliminar cualquier vídeo que el quisiera.
Pranav dice que estaba intrigado por los nuevos video comentarios dados a conocer a principios de este mes por Facebook. “Me encontré con la nota Nuevo: Vídeos en comentarios! escrito por Bob Baldwin que trabaja en Facebook. Este documento era acerca del lanzamiento de Facebook de su nueva función de comentar utilizando vídeos. p.ej. Ahora, los usuarios pueden subir un video en los comentarios, “dice.
Comenzó a jugar con la API de Facebook y encontró que era capaz de eliminar cualquier video subido en la plataforma, en función de su ID de vídeo. “Este error es una prueba de falla en la lógica más que falla técnica”, explica el investigador.
Pranav descubrió que cuando un usuario sube un video a modo de comentario, el video es subido a su perfil de Facebook, se le asigna un ID de vídeo, y luego coloca en la publicación deseada en base a ese ID de vídeo. Sin embargo, durante esta operación Facebook olvidó agregar comprobaciones de permisos para la operación de eliminación. En sus pruebas, el investigador descubrió que podía crear un comentario a través de la API de Facebook, que podría entonces enviar otra solicitud del API para adjuntar cualquier ID de vídeo de cualquier usuario como comentario, y más tarde utilizar otra solicitud del API para eliminar el comentario.
Como Facebook no había añadido ninguna API para las solicitudes de borrar vídeo, fácilmente podría ser abusada para eliminar cualquier video.
PRUEBA DE CONCEPTO


1.Cree un comentario en un mensaje a través de la API
.
Llamada a la API:
Referencia: (https://developers.facebook.com/docs/graph-api/reference/object/comments/)
POST /<ID>/comments?message=test

2.Edita el comentario y adjunta un vídeo de tu elección a través de la API.
Video id: 17938749337272382 (Vídeo para eliminar)
Llamada a la API:
Referencia: (https://developers.facebook.com/docs/graph-api/reference/v2.6/comment)
POST /<comment id>?attachment_id = 17938749337272382
Vídeo añadido como un comentario.

3.Borrar el comentario. Espera 20 segundos. (Tarda 20 segundos para eliminar el vídeo desde el servidor de Facebook).
Llamada a la API:
Referencia: (https://developers.facebook.com/docs/graph-api/reference/v2.6/comment)
DELETE / <comment_id>
Esto eliminará el vídeo.

Pranav comunicó el problema a Facebook a través de su programa de recompensas de errores el 11 de junio, dos días después de que se activara la función de vídeo comentario. Facebook emitió una solución temporal en sólo 23 minutos, y más tarde arregló el fallo completamente después de 11 horas.
Pranav se recibió una recompensa de cinco dígitos del programa de recompensas de errores por parte de Facebook por su investigación.

Leave a Reply