image

Afgeschermde Instagram-foto's door beveiligingslek toch zichtbaar

woensdag 16 juni 2021, 14:38 door Redactie, 1 reacties

Een kwetsbaarheid in Instagram zorgde ervoor dat afgeschermde foto's ook zichtbaar waren voor personen die de gebruiker in kwestie niet volgden. Facebook heeft het beveiligingslek verholpen en onderzoeker Mayur Fartade die het probleem ontdekte en rapporteerde met 30.000 dollar beloond.

Instagram-gebruikers kunnen hun account op privé zetten zodat alleen volgers die daar toestemming voor hebben kunnen zien wat de gebruiker deelt. Afbeeldingen op het platform zijn voorzien van een Media ID. Wanneer een aanvaller dit Media ID zou weten, bijvoorbeeld via een bruteforce-aanval, had die een request kunnen sturen naar Instagrams GraphQL endpoint. De respons bevatte vervolgens de url van de betreffende afbeelding, alsmede andere informatie. Ook via een ander endpoint was het mogelijk om deze informatie op te vragen.

Fartade waarschuwde Facebook op 16 april van dit jaar en stuurde op 19 april meer informatie. Drie dagen later verhielp Facebook het probleem. Op 24 april ontdekte de onderzoeker echter het andere endpoint dat dezelfde informatie prijsgaf. Vijf dagen later rolde Facebook een oplossing uit, maar die was volgens de onderzoeker niet volledig. Gisteren liet Facebook weten dat het probleem nu wel was opgelost, iets wat Fartade bevestigt. Daarnaast meldde het techbedrijf dat de onderzoeker voor zijn melding met 30.000 dollar wordt beloond.

Image

Reacties (1)
16-06-2021, 15:52 door Anoniem
Dus ook al waren de volgers ingelogd, zodat het prima had gekund, de toegang tot afgeschermde afbeeldingen was niet geregeld via een rechtensysteem waarin een gebruiker wel of geen leesrechten voor een afbeelding heeft, maar die was geregeld door iedereen leesrechten op de afbeelding te geven maar alleen aan bevoegde gebruikers te vertellen waar de afbeelding gevonden kan worden.

GraphQL bevatte de fout om gebruikers te vertellen waar afbeeldingen stonden waar ze eigenlijk geen weet van mochten hebben. Als dat is wat ze als de te repareren fout hebben beschouwd dan zal het nog steeds zo zijn dat je afbeeldingen waar je niet toe bevoegd bent kan opvragen als je de URL kent. Het zou me niet echt verbazen als dat zo was.

Rechtensystemen die het benaderen van resources waar je niet aan mag komen zelf blokkeren werden al lang en breed toegepast toen de oprichters van Facebook en Instagram nog luiers droegen. Dat is niet echt een wiel dat nog voor het eerst uitgevonden moest worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.