Vous devez à l’avenir faire très attention si vous avez activé la synchronisation automatique sur votre iPhone, iPad ou Android avec la fonctionnalité Facebook Photo Sync.
En 2012, Facebook avait introduit cette fonctionnalité de synchronisation pour les mobiles iPhone et Android, ainsi que pour les tablettes iPad et Android, afin de permettre aux utilisateurs de sauvegarder automatiquement leurs photos stockées dans leurs appareils dans leurs comptes Facebook.
Ainsi, les photos synchronisées étaient automatiquement téléchargées en arrière-plan vers un album photos privé. Ce qui, par définition, les rendait invisibles au public, ainsi qu’à vos Amis.
Cependant, vous pouvez plus tard choisir de les partager depuis cet album avec vos Amis.
Mais, il y avait un hic qu’un chercheur de bugs, en la personne de Laxman Muthiyah, a découvert. Il mis au jour une faille critique de sécurité dans la fonctionnalité Facebook Photo Sync et dans Facebook API qui permet à toute application tierce d’accéder à vos photos personnelles depuis les photos de l’album photos privés créé pour la synchronisation.
En fait, ce serait un peu ce qui c’était passé avec Snapchat et les photos personnelles de stars qui ont été divulguées sur le Net suite à une vulnérabilité du même type.
Dans un billet publié sur son blog, relayé par Thehackernews.com, Laxman explique que la vulnérabilité réside dans le mécanisme des privilèges accordés aux applications qui sont autorisées à accéder aux photos synchronisées et sauvegardées sur Facebook grâce au Vaultimages API.
Ainsi, au lieu de vérifier l’application qui envoie la requête, le Vaultimages vérifie le propriétaire de l’accès au Token. De sorte qu’il permet à n’importe quelle application ayant la permission “user_photos” de lire les photos de votre mobile.
Techniquement, comme le dit Laxman, l’album privé des photos de la synchronisation ne devait être accessible que par l’application officielle de Facebook. Cependant, à cause de cette faille de sécurité, les applications tierces obtiennent facilement la permission de consulter vos photos personnelles synchronisées.
Pour la petite histoire, Laxman avait auparavant révélé à Facebook une faille de sécurité dans le mécanisme de Facebook Graph API qui permettait à tout utilisateur de supprimer les albums photos des autres utilisateurs, ainsi que n’importe quelle Page Pro ou Groupe. Facebook
Pour sa trouvaille que je vous présente ici, il en a fait part à Facebook qui a, semble-t-il, définitivement corrigé la faille et l’a récompensé de la somme de 10.000 dollars.
Cependant, il recommande à tous les utilisateurs, pour plus de sécurité, de désactiver la synchronisation de leur compte Facebook avec leur appareil mobile.
Pour ce faire, rendez-vous dans votre compte Facebook, puis dans l’espace “Photos” avant de cliquer sur le lien “synchroniser avec le mobile” (ou quelque chose de ce genre) pour désactiver la synchronisation.
