Facebook har i en nylig oppdatering av selskapet applikasjoner for Android fjernet to ganske alvorlige sårbarheter. Både hovedapplikasjonen og Facebook Messenger-applikasjon skal ha gjort det mulig for alle andre applikasjoner på enheten å lese brukerens Facebook «access_token» og dermed kapre hele kontoen.

Dette skriver den egyptiske sikkerhetsforskeren Mohamed Ramadan i et blogginnlegg.

Den første sårbarheten skal dog bare ha vært tilgjengelig under en gitt situasjon, nemlig når man som bruker mottar åpner en Facebook-melding fra en kontakt og denne meldingen inneholder et vedlegg i form av en fil.

I disse tilfellene ble den aktuelle identifikatoren, Facebooks «access_token», gjort tilgjengelig for logcat, loggsystemet i Android.

Den andre sårbarheten ligner den første, men er knyttet til en annen Facebook-applikasjon, Facebook Pages Manager for Android. Også denne applikasjonen lekket Facebooks «access_token», men denne sårbarheten krevde bare at brukeren var innlogget med applikasjonen, uten å måtte gjøre spesielle handlinger.

Flere detaljer om sårbarhetene er omtalt i Ramadans blogginnlegg, inkludert en video som demonstrerer hvordan den sistnevnte sårbarheten kunne utnyttes.

Ramadan gjengir i blogginnlegget e-postmeldinger fra Facebook som forteller at han til sammen har fått 6000 dollar i dusør for opplyse selskapet om disse sårbarhetene på en ansvarlig måte.