فيسبوك: ثغرة تسمح بإرسال ملفات تشغيليّة

اكتشف أحد الباحثين الأمنيين الأسبوع الماضي ثغرة تسمح للمهاجم بإرسال ملفات تشغيليّة لأي مستخدم لفيسبوك، دون أن يكون المهاجم من دائرة أصدقاء الضحيّة. لا يمكن لمستخدم إرسال ملفات تشغيلية سواءاً لأصدقائه أو غيرهم. لكن الباحث الأمني عثر على خلل في طريقة التّأكد من الملفات في خاصيّة الرسائل في فيسبوك، وتحديداً في طريقة تحليل الملف لمعرفة إذا ما كان نوع الملف مسموحاً به أو لا.

الباحث قام بعمل تعديل بسيط على اسم الملف، وذلك بإضافة فراغ بعد اسم الملف. لنفرض أنا الملف “test.exe” ملف غير مسموح إرساله كونه ملف تشغيلي. إضافة فراغ بعد اسم الملف تمكن المهاجم من تخطّي حماية فيسبوك وإرسال الملف إلى الضحيّة “test.ext ”

باستغلال الهندسة الإجتماعيّة، يمكن للمهاجم السيطرة على حاسوب الضحيّة في حال قام فتح الملف المرسل.

الباحث قام بتبليغ فيسبوك بالثغرة الشهر الماضي، وقد قام فريق فيسبوك بإغلاقها هذا الشهر.