Эксперт по веб-безопасности Йосип Франькович (Josip Franjković) помог социальной сети Facebook устранить серьезные бреши в официальном Android-приложении. Уязвимости, которые специалист обнаружил в 2017 году, позволяли злоумышленникам увидеть закрытый список друзей и фрагменты пользовательских платежных данных.

Обе проблемы были связаны с открытым языком GraphQL, созданным Facebook для обработки информации в своих мобильных приложениях.

В первом случае Франькович смог обмануть проверочный механизм базы данных, который, по задумке разработчиков, должен отсеивать запросы вне белого списка. Эксперт изменил один параметр в команде на предоставление информации и получил публичные и приватные данные о пользователе, включая скрытый список друзей.

Вторая уязвимость позволила Франьковичу увидеть значительную часть сведений о банковской карте, которую участники соцсети привязывают к своему аккаунту для оплаты рекламы. В частности, исследователь смог узнать тип карты, банк-эмитент, 10 из 12 цифр номера, срок действия, имя владельца (без фамилии), индекс и страну выпуска.

Все уязвимости были устранены еще в 2017 году. При этом ошибку с раскрытием платежных данных разработчики Facebook исправили буквально за 4 часа — по словам эксперта, с такой быстрой реакцией он не сталкивался ни разу за всю свою карьеру багхантера.

В обоих случаях Франькович взаимодействовал с соцсетью через ее программу отлова ошибок. Размер награды, которую он получил за свой труд, не раскрывается. Однако ранее компания Facebook уточняла, что в общей сложности в 2017 году заплатила багхантерам почти 900 тыс. долларов. Самое значительное вознаграждение в истории соцсети — 40 тыс. долларов — получил российский программист Андрей Леонов, который в ноябре 2016 года обнаружил способ внедрения кода через функцию «Поделиться изображением».

Компания Facebook совместно с Microsoft и другими технологическими гигантами объявила награду за уязвимости, которые будут найдены в базовых инфраструктурных библиотеках и открытых языках программирования, в 2013 году. Программа под названием Internet Bug Bounty призвана повысить общий уровень безопасности в Сети и мотивировать хакеров публиковать обнаруженные ошибки вместо того, чтобы использовать их.

Категории: Кибероборона, Уязвимости