O vazamento de fotos particulares tem se tornado um problema comum no nosso tempo. Por isso, se certificar de que estamos totalmente seguros quanto a este assunto é fundamental. Um exemplo disso é a recente vulnerabilidade descoberta no Facebook, que deixa as imagens dos usuários expostas.
Veja também: Facebook vai espionar você fora da rede
A falha acontece por meio da sincronização automática de fotos do Facebook no iPhone, iPad e aparelhos Android. Nela, hackers podem roubar fotografias sem que a vítima perceba. O caçador de recompensas de bug Laxman Muthiyah descobriu uma falha crítica no recurso de sincronização de fotos do Facebook e na API da rede social que pode permitir que qualquer aplicativo de terceiros acesse as fotos pessoais do álbum Facebook Photo Sync “escondido”.
O sistema funciona da seguinte forma: as fotos que o usuário sincroniza do smartphone ou tablet são carregadas automaticamente em segundo plano para um álbum privado do Facebook, que não é visível para qualquer um dos seus amigos ou outros usuários da rede social. No entanto, ele pode escolher compartilhar essas fotos do álbum na sua timeline ou enviá-las como uma mensagem para um amigo.
Laxman informou ainda que a vulnerabilidade está no mecanismo de privilégio onde os aplicativos podem acessar a sincronização de fotos usando a vaultimages API. Segundo ele, o sistema verifica apenas o proprietário do token de acesso, e não o aplicativo que está fazendo a solicitação. Com isso, ele permite que qualquer aplicativo com “user_photos” tenha permissão para ver suas fotos móveis.
O Facebook recompensou o Laxman com US$ 10 mil pela descoberta sob seu programa de recompensas. Os usuários do Facebook foram aconselhados a desativar o recurso de sincronização de fotos até a correção da vulnerabilidade.
Para isso desativar essa função, vá até as “Configurações do aplicativo”.
Depois, toque em “Sincronizar fotos”.
Agora, selecione “Não sincronize minhas fotos”. Em algumas versões do Android ela pode aparecer em inglês: “Don’t sinc my photos”. Após tocar na opção confirme, clicando em “Desativar”. Assim, você estará livre da vulnerabilidade.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…