Mohamed Ramadan, az Attack Secure biztonsági cég munkatársa pár hónapja két komoly biztonsági hibát talált a Facebook, illetve a Facebook Messenger androidos, valamint a Facebook Pages Manager szintén androidos alkalmazásában. Ezeket jelentette a cégnek, majd miután megkapta a vállalat által felajánlott, összesen hatezer dolláros jutalmat és kijavították a réseket, blogjában tegnap ismertette, hogy milyen hibákról is volt szó.

Az első hiba azt tette lehetővé, hogy más alkalmazás is hozzáférjen a felhasználó hozzáférési tokenjéhez, így egy támadó átvehette az irányítást a fiók fölött, és a másik alkalmazásnál is hasonló hibát talált. A blogban Ramadan leírja, hogy roppant egyszerűen ki lehetett volna használni a sebezhetőségeket: az androidos készüléken tevékenykedő felhasználó kap egy üzenetet (ismerőstől vagy mástól), és amikor az abban talált csatolmányt megnyitja, azzal megosztja a rendszerben található összes alkalmazással a tokent is, és innentől kész, már meg is szerezhetik mások a hozzáférést.