Facebook Android Apps, Images, SSL and YOU :)

Facebook Android Apps, Images, SSL and YOU :)

Even if you enabled HTTPS ( SECURE) in your Facebook account, your images are still being sent and received on HTTP ( INSECURE ).

If you are using a wireless network at Cafe, Hotel, Airport, Museum, Disco, Your Friends’s Wireless Network or even your own wireless network ( it may be already hacked ) even if you are using ( WEP or WPS  or even WPA ), An Attacker can run cain and abel, ettercap, sslstrip or his own tool to poison the traffic and hijack ARP table and sniff your images and your private images and leak it online or send it to his friends.

Imagine this: you captured an image ( Private ) and then uploaded it to your Facebook account to share it with your private friend(S) and in the same time the attacker is viewing them without your permission :(

NOW the bad scenario: the attacker can upload your private photos, sell them, trade them, leak them online, share it with his friends, look up your images in google images search and he may recognise you and asks for money to remove your private images ( YES it is the bad )

I found the above vulnerability in the official Facebook App for android and in the official Facebook messenger app for android and then reported it to Facebook On Fri, Feb 22, 2013 at 4:14 PM and i waited and waited until Facebook replied to me :)

My report to Facebook:

 

Subject: Report a Possible Security Vulnerability

Name: Mohamed Ramadan
E-Mail: ++++++@gmail.com
Type: privacy
Scope: mobile
Description: i found that the official Facebook Messenger and Facebook app for android latest version are sending and receiving images using HTTP protocol and any one on the same wireless network can sniff my traffic and view all images or even replace it with his own images

i tested all Facebook apps for iOS and i found that images are being sent and received in HTTPS.

please fix this issue ASAP

repro:
just open wireshark and start capturing the traffic and open Facebook messenger app and view anybody images and you will see that all of them are being received in HTTP

look at these image :

fb_android

and

fb_msg_android

 

Facebook Reply to me :

 

Hi Mohamed,

I wanted to send back an update on the Android HTTPS issue you had sent a while back. We were able to confirm some instances where the app wasn’t using HTTPS as it was supposed to and we’ve been working on getting all of those fixed. I think there may still be some work in progress on this, but since it’s taking a while, we decided to go ahead and send you a bounty of $1500 for your report.

It looks like we may have your info on file, so I’ll let your payment people know and they’ll be in touch further.

Thanks!

Rory
Security
Facebook

 

BUT……………

i got another reply from Facebook:

 

Hi Mohamed,

I reviewed your other tickets after you sent the inquiry about HTTPS issues with Facebook Messenger with Android. There seems to have been some misunderstanding on our end since the report was so similar to the original one about the main app, and both were rooted in the same code issues so we essentially treated the Messenger issues as part of the same report rewarded with the bounty.

But we certainly appreciate your research, and given the misunderstanding, we decided to go ahead and add another $500 to your original bounty! I’ll send word to our payment staff.

Thanks,

Rory
Security
Facebook

 

NICE :)

$2000 for a privacy issue in Facebook main app and Facebook messenger app for android is not bad :)

it is time to update your Facebook apps right now, if you are a bit lazy like me and forget to update android apps then UPDATE NOW!

 

Oh wait, Facebook Thanked me and Added me to their White Hat Page :) ( 2012, 2013 )

https://www.facebook.com/whitehat/thanks/

Search for: Mohamed Ramadan or Attack-Secure.com

 

i will post new bugs i found in facebook very soon so you MUST follow me on twitter: https://twitter.com/Attack_Secure :)

 

NOTE: Don’t forget to tweet and share this post so people will be FORCED to update Facebook APPS and don’t be LAZY :)

 

PSSST: Do you have andorid/ios app and you want us to pentest it and report all vulns to you ? then write to us ( [email protected] ) and we will reply to you with more information within 24 hours

Trackbacks/Pingbacks

  1. Facebook Android Bug Sent Users' Photos in the Clear | Threatpost - […] network can sniff my traffic and view all images or even replace it with his own images,” Ramadan said …
  2. Facebook Android Bug Sent Users’ Photos in the Clear | Badzone - […] network can sniff my traffic and view all images or even replace it with his own images,” Ramadan said …
  3. Facebook Android Bug Sent Users’ Photos in the Clear « Cyber Security Aid - […] network can sniff my traffic and view all images or even replace it with his own images,” Ramadan said …
  4. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد - هتس كوم - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  5. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد - smart2group Co. - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  6. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد | goldenAli.com - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  7. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد | Golden Computer صفحة الكمبيوتر الذهبي - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  8. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  9. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد - […] ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  10. Dalil 4u - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  11. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد | مدونة شركة صمملي لبرمجة و تصميم المواقع | Sammly Blog - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  12. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد | صحيفة مبدع للتقنية والانترنت - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  13. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد | مصر اليوم نت | جريدة اخبارية إلكترونية - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات […]
  14. Facebook schließt SSL-Lücke in seiner Android-App | ZDNet.de - […] ist an der Zeit, die Facebook-Apps zu aktualisieren”, schreibt Ramadan in seinem Blog. “Wenn Sie so wie ich ein …
  15. ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد | مجلة عالم التكنولوجيا والتقنية - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  16. Mobile Phone Development » Blog Archive » Poor Apps from Large Companies - […] Why is it that the larger the company, usually the worse the app? This week I migrated all my …
  17. Facebook schließt SSL-Sicherheitslücke bei der Bild-Übertragung in Android-App - […] LG GT540 Optimus Smartphone (ANDROID, 7,6 cm (3 Zoll) Display, Touchscreen, 3 Megapixel Kamera) schwarz Neupreis: EUR …
  18. ناشر.كوم | ثغرة تعرض صور المستخدمين للخطر في تطبيقات فيسبوك على أندرويد - […]  ”رمضان” على موقعه الشخصي بأن تطبيقات فيسبوك على أندرويد تقوم بإرسال واستقبال […]
  19. Facebook Android Apps, Images, SSL and YOU - At... - […] Even if you enabled HTTPS ( SECURE) in your Facebook account, your images are still being sent and received …

Leave a Reply