Kilka dni temu dyrektor ds. zarządzania produktem (Messenger) Ruth Kricheli ogłosił dość ciekawe dla miłośników prywatności zmiany w komunikatorze Messenger: Pierwszą nowością jest szyfrowanie e2e (end-to-end) rozmów głosowych i wideo w Messengerze. W praktyce oznacza to, że nikt, w tym Facebook, nie powinien być w stanie podsłuchiwać treści naszych rozmów….
Czytaj dalej »
Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system. Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia…
Czytaj dalej »
Pamiętacie rozważany swego czasu w Europie „podatek od hiperlinków„? Na bardzo zaawansowanym etapie podobnej regulacji jest Australia, która chce wymóc prostą zasadę: dana platforma (np. FB czy Google) udostępnia u siebie linki (+ zajawki) do zewnętrznych newsów – ma zapłacić stronom na których dana treść została opublikowana. Facebook postanowił na…
Czytaj dalej »
Apple już jakiś czas temu postanowił walczyć ze śledzeniem użytkowników w systemie iOS. Całość ma być realizowana przez mechanizm App Tracking Transparency: You must use the AppTrackingTransparency framework if your app collects data about end users and shares it with other companies for purposes of tracking across apps and web…
Czytaj dalej »
Baza nakierowana jest przede wszystkim na numery telefonów i ich powiązanie z ID Facebooka. Prawdopodobnie w bazie są przede wszystkim numery telefonów/ID użytkowników Facebooka (pozostałe dane dostępne są w bardzo nielicznych przypadkach). Z Polski jak widać oferowane jest prawie 2,7 miliona rekordów: Czy baza jest „prawdziwa”, niektórzy wątpią, choć np….
Czytaj dalej »
Tym razem coś dla mniej technicznych czytelników. Zobaczcie następujące oszustwo. Taka strona promowana jest na Facebooku (zauważcie fałszywy adres w pasku adresu przeglądarki – http://d29qgvbch6mz0g[.]cloudfront[.]net/): Pewnie sporo osób zechciałoby zobaczyć potencjalnie drastyczne sceny z klubu: Są one na tyle drastyczne, że wymaga to potwierdzenia wieku (niby za pomocą Facebooka): Pod…
Czytaj dalej »
Podatność została załatana w listopadzie 2020r. a sprowadzała się do braku sprawdzenia uprawnień przez Facebooka. W ramach przykładu, badacz pokazał jak można by stworzyć „lewy” wpis na oficjalnej stronie Facebooka informujący że Facebook zwraca na konto podwojoną kwotę wpłaconą do nich w Bitcoinach: Jak można było to zrobić? Wystarczyło przygotować…
Czytaj dalej »
Podatność została zgłoszona przez Natalię Sylwanowicz z projektu Google Zero. Jak czytamy na stronie Facebooka: This fall, Natalie Silvanovich of Google’s Project Zero reported a bug that could have allowed a sophisticated attacker logged in on Messenger for Android to simultaneously initiate a call and send an unintended message type…
Czytaj dalej »
Pan Rafał poinformował o problemie za pośrednictwem Twittera: Co w zasadzie niemal wszystko jest tu jasne – podpucha w postaci „rzekomego włamania” – trzeba szybko reagować, tj zmienić hasło! (oczywiście pan Rafał podał hasło nie w Facebooku ale do chińskich amatorów kont o dużym zasięgu). Jakie rady? Przede wszystkim trzeba…
Czytaj dalej »
Pełen opis problemu możecie zobaczyć tutaj. Historia związana jest z nowym interfejsem Facebooka (tzw. FB5). Tutaj można było stworzyć nową (testową) stronę, a następnie utworzyć do niej użytkownika: Na razie nie ma żadnej podatności, ale po kliknięciu przycisku Create Username można było przechwycić żądanie HTTP (np. w Burp Suite) i wpisać…
Czytaj dalej »
Jeśli Orange Tsai coś napisze, to jest to od razu uderzenie z Grubej Berty ;-) Tym razem mamy opis podatności klasy unauthenticated RCE w systemie MDM MobileIron. Dla przypomnienia systemy klasy Mobile Device Management to klucz do królestwa urządzeń mobilnych w całej firmie. Z jednej strony to właśnie w tym miejscu…
Czytaj dalej »
Trochę naszych czytelników pyta nas zaniepokojonych o co chodzi z takim dość dziwnym przyznajmy popupem pojawiającym się najczęściej przy ikonie chatu : Na razie nie ma o tym wielu szczegółowych informacji – poza tym wątkiem, gdzie najczęściej wskazuje się na pewną ukrytą funkcję Facebooka (która prawdopodobnie powinna być dostępna tylko…
Czytaj dalej »
W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…
Czytaj dalej »
Wiele serwisów podgrzewa kolejną aferę: „iOS Facebook app ‘secretly using camera’ while scrolling feed” czy „Facebook is secretly using your iPhone’s camera as you scroll your feed„. Błąd ujawnia się tylko na aplikacji mobilnej Facebooka, w wersji na iPhone (tylko na systemach iOS 13): Found a @facebook #security & #privacy…
Czytaj dalej »
Czytelnik doniósł nam o nowej, popularnej kampanii na Facebooku która wygląda np. tak (przykład: https://m.facebook[.]com/story.php?story_fbid=2228191223969654&id=100003363936319 Zasięgu można tylko pozazdrościć: Ci którzy skuszą się na wejście na stronę opisującą porwanie, będą mogli zobaczyć film z całej akcji, który jednak ze względu na drastyczne sceny wymaga potwierdzenia swojego wieku (18 lat). A to…
Czytaj dalej »