10 آلاف دولار لباحث مصري اكتشف خطأ في ميزة تنزيل تطبيق فيس بوك على أندرويد

عثر باحث أمنى على ثغرة أمنية فى ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، والتى يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE)، وهو ما دفع فيس بوك لمنح هذا الباحث 10 آلاف دولار مقابل العثور على الخطأ، حيث يستخدم تطبيق فيس بوك على أندرويد طريقتين لتنزيل الملفات من مجموعة - خدمة أندرويد مضمنة تسمى DownloadManager وطريقة ثانية تسمى Files Tab.

وبحسب موقع "TOI" الهندى، فقد اكتشف الباحث الأمنى ​​سيد عبد الحفيظ، مصرى الجنسية، خللاً فى عملية التحميل بالطريقة الثانية، وقال فى منشور على موقع Medium: "اكتشفت وجود خطأ ACE على فيس بوك لنظام أندرويد يمكن فرزه من خلال ملف تنزيل من مجموعة Files Tab دون فتح الملف، وقد كانت الثغرة الأمنية في الطريقة الثانية، وبينما تم تنفيذ الإجراءات الأمنية على جانب الخادم عند تحميل الملفات، كان من السهل تجاوزها.

وأوضح عبد الحفيظ كيف مكّن خلل تبويب الملفات الباحث من شن هجمات RCE على جهاز مستهدف، وتم الآن إصلاح الثغرة الأمنية في علامة تبويب الملفات.

وفى يونيو من هذا العام فاز الباحث الأمنى ​​Bipin Jitiya والذى يعيش فى أحمد أباد بالهند بمبلغ 23.8 ألف روبية (31500 دولار) من فيس بوك لتحديد خطأ فى نظامه الأساسى للشبكات الاجتماعية وبوابة استخبارات أعمال تابعة لجهة خارجية، وقد حددت Jitiya الذى يبلغ من العمر 26 عامًا، ثغرة أمنية على الويب في التزوير الداخلي للطلب من جانب الخادم (SSRF) في التعليمات البرمجية المصدر لنقطة نهاية يمكن الوصول إليها بشكل عام، تم إنشاؤها باستخدام أدوات من MicroStrategy، والتي أدت إلى جمع البيانات المخصصة وإنشاء المحتوى.

وقد دخلت MicroStrategy في شراكة مع فيس بوك في مشروعات تحليل البيانات لعدة سنوات، وأبلغ جيتيا فريق الأمن في MicroStrategy عن الخطأ، الذي اعترف به، قائلاً إن المشكلة قد تم حلها، وفي مايو، حصل باحث أمني هندي يبلغ من العمر 27 عامًا بهافوك جاين على 100000 دولار من أبل لاكتشافه ثغرة Zero Day المصححة الآن في تسجيل الدخول باستخدام مصادقة حساب أبل.