Facebook、写真を勝手に削除できる脆弱性を修正--発見者に1万2500ドル

　Facebookに保存されたどの写真でもハッカーが削除できるというセキュリティの脆弱性を、インドのセキュリティ研究者Arul Kumar氏が発見した。Kumar氏は、この発見によって報奨金を獲得した。

　この脆弱性は、Kumar氏のブログで詳しく説明されているように、Facebookの「Support Dashboard」に存在する。この脆弱性が「重大」と考えられる理由は、あらゆるブラウザのどのバージョンでも悪用が可能なためだ。ただし、最もうまく悪用できるのは、モバイル機器を使用した場合だという。

　FacebookのSupport Dashboardは、写真削除リクエストをFacebookに送信するのに使われる。リクエストはFacebookの担当者によって確認されるが、Facebookに送信する代わりに、写真の所有者に直接リクエストを送ることも可能だ。すると、写真を削除するためのリンクが生成され、写真の所有者がそのリンクをクリックすれば、問題の写真は削除される。

　ところが、このメッセージを送る際に使われる「Photo_id」と「Owners Profile_id」という2つのパラメータに脆弱性がある。これらのパラメータを改ざんすると、ハッカーはあらゆる写真の削除リンクを自分の受信箱で受信できるようになるのだ。写真の所有者による操作は不要で、所有者に気づかれることもないという。

　すべての写真には「fbid」という値が与えられており、この値はFacebookのURLで確認できる。この写真IDが分かれば、2つのFacebookユーザーアカウント（1つは「送信者」、もう1つは「受信者」の役目を果たす）を使用して「写真削除リンク」が手に入る。

　また、所有者のプロフィールIDは、Facebookの「Graph Search」を使って確認できる。

https://m.facebook.com/report/social/?phase=0&next_phase=8&pp={"first_dialog_phase": 8,"support_dashboard_item_id":396746693760717,"next":"\/settings\/support\/details\/?fbid=396746693760717","actions_to_take":"{\"send_message\":\"send_message\"}"}&content_type=2&cid=PHOTO_ID&rid=PROFILE_ID

　このURLを見てほしい。最後の方に「cid」と「rid」というパラメータがある。これらが脆弱性のあるパラメータで、「Photo_id」と「Profile_id」の値を改ざんすれば、これらのパラメータからあらゆる写真の削除リンクを受信者の受信箱に送信できる。

　このURLで、次の値を変更する。

　cid= Photo_id（対象の写真のIDを「cid」の値として入力すればよい）

　rid= Profile_id（受信者のプロフィールIDを「rid」の値として入力する必要がある）

　これらの値を入力したら、エンターキーを押す。それから「Continue」ボタンをクリックすれば、Facebookは写真削除リンクを受信者のプロフィールページに自動で送信する。

　Kumar氏によると、あらゆる写真をページとユーザーから削除でき、共有された写真もタグ付けされた写真も削除可能だという。また、グループ、ページ、おすすめ投稿にある写真も制限なく削除できる。

　結果的に、Kumar氏は「Bug Bounty」ブログラムから1万2500ドルの報奨金を獲得した。このプログラムは、報奨金を出すことで、セキュリティ研究者に発見した脆弱性を報告するよう奨励するものだ。なお、Kumar氏が発見した脆弱性はすでに修正されている。

Kumar氏による説明図
提供：Arul Kumar氏