Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Facebook App: RCE nella funzione di download, pagati 10k$ come ricompensa.

Facebook App: RCE nella funzione di download, pagati 10k$ come ricompensa.

7 Ottobre 2020 10:26

Una vulnerabilità nella funzione di #download dell’applicazione #Android di #Facebook potrebbe essere sfruttata per attacchi di Remote Code Execution (#RCE).

L’app di Facebook utilizza due diversi metodi per scaricare file: un servizio Android integrato chiamato #DownloadManager e un secondo metodo, la scheda File.

Il ricercatore di sicurezza Sayed #Abdelhafiz ha scoperto un difetto di “path traversal” nel secondo metodo. Ciò è stato ottenuto intercettando una richiesta di caricamento utilizzando #Burp Suite.

Advertising

In un post sul blog pubblicato la scorsa settimana, Abdelhafiz ha spiegato come il difetto della scheda File abbia consentito di lanciare attacchi #RCE contro un dispositivo.

Facebook ha assegnato 10.000 dollari per la scoperta, che Abdelhafiz ha detto di aver contestato, dopo che alcuni dei suoi follower su Twitter hanno criticato quello che consideravano un pagamento relativamente basso, data la gravità del difetto.

#redhotcyber #cybersecurity #WhiteHatHacker

https://portswigger.net/daily-swig/amp/vulnerability-in-facebook-android-app-nets-10k-bug-bounty


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Agostino Pellegrino 300x300
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks