فيس بوك يمنح باحث مصرى 10 آلاف دولار لاكتشاف ثغرة فى تطبيق التواصل
عثر باحث أمنى على ثغرة أمنية فى ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، والتى يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE)، وهو ما دفع فيس بوك لمنح هذا الباحث 10 آلاف دولار مقابل العثور على الخطأ، حيث يستخدم تطبيق فيس بوك على أندرويد طريقتين لتنزيل الملفات من مجموعة - خدمة أندرويد مضمنة تسمى DownloadManager وطريقة ثانية تسمى Files Tab.
وبحسب موقع "TOI" الهندى، فقد اكتشف الباحث الأمنى سيد عبد الحفيظ، مصرى الجنسية، خللاً فى عملية التحميل بالطريقة الثانية، وقال فى منشور على موقع Medium: "اكتشفت وجود خطأ ACE على فيس بوك لنظام أندرويد يمكن فرزه من خلال ملف تنزيل من مجموعة Files Tab دون فتح الملف، وقد كانت الثغرة الأمنية في الطريقة الثانية، وبينما تم تنفيذ الإجراءات الأمنية على جانب الخادم عند تحميل الملفات، كان من السهل تجاوزها.
وأوضح عبد الحفيظ كيف مكّن خلل تبويب الملفات الباحث من شن هجمات RCE على جهاز مستهدف، وتم الآن إصلاح الثغرة الأمنية في علامة تبويب الملفات.
تعليقات
إرسال تعليق