Dobra wiadomość jest taka, że atak wymaga fizycznego dostępu do telefonu ofiary, zła – znając adres profilu, wykona go pierwszy lepszy złodziejaszek z brzegu.
Blokada ekranu, czy to hasłem czy poprzez biometrię, nie zapobiegnie dostępowi do zawartości galerii smartfonu, jeśli tylko zainstalowana jest w nim aplikacja Messenger – ustalił nepalski badacz bezpieczeństwa Samip Aryal. Błąd jest pozornie banalny, ale może okazać się brzemienny w skutkach.
Co w tym miejscu warte odnotowania, społecznościowy potentat zmaga się z nim nie pierwszy raz. Tym razem jednak wektorem ataku jest funkcja Pokoje Messengera. Wcześniej analogicznie było z wycofanym już Wspólnym oglądaniem. Ale do rzeczy.
Sprawa wygląda następująco: jeśli napastnik wejdzie w posiadanie telefonu ofiary z zainstalowaną aplikacją Facebooka i zna adres jej profilu, to może uzyskać dostęp do zdjęć i wideo bez odblokowywania ekranu. Kiedy doda ofiarę do Pokoju z poziomu własnego konta, nawet nie uzyskawszy na to specjalnej zgody, zyskuje możliwość zainicjowania połączenia, po czym odebrania go na teoretycznie zablokowanym urządzeniu mobilnym.
Zobacz: Szef Facebooka korzysta z Signala
Ostatecznie wyświetlony zostaje komplet kontrolek czatu, z dostępem do galerii na czele. Podkreślmy, wszystko to bez znajomości PIN-u, wzorca blokady czy łamania biometrii, a więc de facto bez grama bardziej zaawansowanej wiedzy. Jest tylko jeden warunek, a mianowicie smartfon musi działać na Androidzie. Na iOS problem nie występuje.
Bądź co bądź, Samip Aryal od razu powiadomił o swym odkryciu stosowną komórkę Facebooka, za co nawiasem mówiąc, otrzymał 3 tys. dol. nagrody. Błąd został załatany zanim wiadomość trafiła do informacji publicznej, ale należy bezwzględnie pamiętać o aktualizacji Messengera.
Źródło zdjęć: Pexels
Źródło tekstu: Infosec Write-ups
