Facebook heeft een lek gerepareerd dat het mogelijk maakte om zonder enig besef van de gebruiker webcamvideo’s op te nemen en op diens tijdlijn te plaatsen zonder enige vorm van toestemming vragen.

Het lek werd aangetoond door de twee beveiligingsonderzoekers Aditiya Gupta en Subho Halder. Zij maakten onderstaande video, waarin wordt getoond hoe het lek uitgebuit kan worden. Gupta en Halder informeerden Facebook al vier maanden geleden over het lek, maar het sociale netwerk had in het begin geen haast om het lek te repareren. Pas toen de twee een de video online zetten kende Facebook het label ‘kritiek’ aan het lek toe.

Facebook uploader

Het lek zat in de upload-functie van Facebook. Gupta en Halder maakten een demo-webpagina met een Flash applet waarmee het lek uitgebuit kon worden via een CSRF-aanval. Als een gebruiker de Facebook uploader gebruikte, werd er een webcamvideo opgenomen en vervolgens op de tijdlijn geplaatst zonder eerst toestemming te vragen.

In de demo klikken de onderzoekers zelf op het knopje. Volgens de beveiligingsnieuwswebsite The H Security kan via clickjacking, waarbij de gebruiker niet zelf op een knop hoeft te klikken, echter ook zonder tussenkomst van de gebruiker een opname gestart worden.

Gupta en Halder zijn blij dat het lek is gedicht, maar ook blij verrast met hun beloning. Als het om een niet al te serieus lek gaat, keert Facebook doorgaans 500 dollar uit aan personen die het aantonen. Voor deze ontdekking kregen de onderzoekers 2.500 dollar.

Bron: The H Security