Una vulnerabilidad grave en Facebook ha sido reportada recientemente, la cual podría permitir a cualquier persona borrar tu álbum completa de fotos en Facebook sin tener autenticación.
El Investigador de Seguridad Laxman Muthiyah dijo que la vulnerabilidad en realidad reside en el mecanismo de API de Facebook Graph, la cual permitiría a "un hacker eliminar cualquier álbum de fotos en Facebook. Cualquier álbum de fotos propiedad de un usuario o una página o un grupo podría ser borrado." Según documentación de Facebook para desarrolladores, no es posible eliminar un álbum utilizando el API de gráficos, pero el investigador de seguridad de la India ha encontrado una manera de eliminar no sólo la suya, pero también la de terceros en cuestión de unos segundos.
"Decidí probarlo con un token de acceso para Facebook de acceso móvil por que ahí podemos ver la opción de eliminar todos los álbumes de fotos en la aplicación móvil de Facebook", dijo.En general, Facebook Graph API requiere un token de acceso para leer o escribir datos de los usuarios, lo que da un acceso limitado a sólo una aplicación. Sin embargo, Laxman descubrió que su propio "token de acceso" elaborado para la versión móvil de Facebook podría ser explotado para eliminar los álbumes de fotos publicados por cualquier usuario de Facebook.
Con el fin de eliminar un álbum de fotos de la cuenta de Facebook de la víctima, el atacante sólo tiene que enviar una solicitud de Graph API basada en HTTP con el ID del álbum de fotos de la víctima y con el token de acceso del atacante generado para la aplicación 'Facebook para android'.
Muestra de petición:
Request :-El programa de recompensas de errores de Facebook lo premió con $ 12,500 USD por ayudar al equipo de seguridad de Facebook en reparar esta vulnerabilidad.
DELETE /HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=<Your(Attacker)_Facebook_for_Android_Access_Token>
Fuente: The Hacker Herald
