اكتشف باحث أمني مصري يدعى “سيد عبد الحفيظ” ثغرة في ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، والتى يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE)، وهو ما دفع فيس بوك لمنح هذا الباحث 10 آلاف دولار مقابل العثور على الخطأ، حيث يستخدم تطبيق فيس بوك على أندرويد طريقتين لتنزيل الملفات من مجموعة – خدمة أندرويد مضمنة تسمى DownloadManager وطريقة ثانية تسمى Files Tab.
وجد الباحث المصري خللاً فى عملية التحميل بالطريقة الثانية، وقال فى منشور على موقع Medium: “اكتشفت وجود خطأ ACE على فيس بوك لنظام أندرويد يمكن فرزه من خلال ملف تنزيل من مجموعة Files Tab دون فتح الملف، وقد كانت الثغرة الأمنية في الطريقة الثانية، وبينما تم تنفيذ الإجراءات الأمنية على جانب الخادم عند تحميل الملفات، كان من السهل تجاوزها.
وأوضح عبد الحفيظ كيف مكّن خلل تبويب الملفات الباحث من شن هجمات RCE على جهاز مستهدف، وتم الآن إصلاح الثغرة الأمنية في علامة تبويب الملفات.
