Facebookissa ollut haavoittuvuus olisi voinut antaa hyökkääjälle mahdollisuuden ottaa haltuunsa Facebook-tilin ilman, että uhrin tarvitsisi klikata mitään.
Virheen löysi Nepalin palkkionmetsästäjä nimeltä Samip Aryal, ja Facebook on nyt korjannut sen.
Etsiessään tilin kaappaus -haavoittuvuutta neljä kertaa Meta Whitehat -palkinnon saanut Aryal aloitti tarkastelemalla sovelluksen poistamisen ja uudelleenasentamisen prosessia Androidilla. Käyttäen useita erilaisia käyttäjäagentteja hän kohtasi mielenkiintoisen vastauksen salasanan palautusprosessissa.
A vulnerability in Facebook could have allowed an attacker to take over a Facebook account without the victim needing to click on anything at all. The bug was found by a bounty hunter from Nepal called Samip Aryal and has now been fixed by Facebook. In his search for an account takeover vulnerability, the four times Meta Whitehat award receiver started by looking at the uninstall and reinstall process on Android. By using several different user agents he encountered an interesting response in the password reset flow
