منحت شبكة التواصل الاجتماعى فيس بوك مؤخرًا الباحث الأمنى المصري سيد عبدالحفيظ مكافئة تبلغ قيمتها 10 آلاف دولار، وذلك عقب تمكنه من اكتشاف ثغرة أمنية فى ميزة تنزيل تطبيق فيس بوك على منصة أندرويد، والتى يمكن استغلالها لشن هجمات وتنفيذ التعليمات البرمجية عن بُعد (RCE).
I was awarded a $10,000 for arbitrary code execution in facebook for android, write-up soon!
— Sayed Abdelhafiz (@dPhoeniixx) August 7, 2020
الباحث الأمنى الشاب
فى حديثه مع انفراد، قال "عبدالحفيظ" الذى لم يتجاوز عمره السابعة عشر، أنه لا يزال يدرس في المرحلة الثانوية العامة، وأنه يعمل حاليا على اكتشاف الثغرات الأمنية في مواقع وتطبيقات الهواتف، وهو ما يعرف بـ "Bug Hunting" على حد وصفه، مشيرا إلى أنه يعمل بشكل جزئي، ويكون هناك جوائز يحصل عليها في المقابل جراء اكتشاف هذه الثغرات في أغلب الأوقات، مشيرا إلى أنه حاليا تم قبوله “المركز الوطني المصري للاستعداد لطوارئ الحاسبات والشبكات"EG CERT"، لكن العائق الحالي في الانضمام ليهم كان السن.
اكتشاف ثغرة فيس بوك
قال "عبدالحفيظ" في حواره مع انفراد: "فيما يتعلق بثغرة فيس بوك، فقد كان لدي شك في مشكلة تتعلق بخاصية تحميل الملفات داخل الجروبات على تطبيق فيس بوك لمنصة أندرويد، ليتأكد لي بعد ذلك أن ظني في محله، وكما كنت أتوقع فقد كانت هناك ثغرة، لكن مع بعض العقبات التي كان من السهل تخطيها".
I have published Arbitrary code execution on Facebook for Android's write up, Enjoy reading!https://t.co/HTKUDxJk4M
— Sayed Abdelhafiz (@dPhoeniixx) October 2, 2020
وأضاف الباحث الأمني الصغير: "الثغرة من بداية الشغل عليها لحد ما بلغتها فيس بوك استغرقت ما يقارب 4 ساعات، افتكر إني بدأت شغل عليها يوم ٢٩ أبريل الساعة 1 بليل، كتبت التقرير وأرسلته الساعة 6 صباحًا، ليتمكن الفريق الأمنى الخاص بفيس بوك من التحقق من الثغرة في أسرع وقت في حوالي 5-4 ساعات فقط، وكالعادة فريق الفيس بوك معروف من أسرع الفِرق في عملية ال triaging والـ fixing للـ للثغرات الخطيرة والحرجة، ومن أكثرهم خبرة، أنا بس بعتلهم استغلال بسيط جدًا إثبات للصلاحيات اللي تقدر الثغرة توصله بدون تفاصيل كتير".
ثغرة فيس بوك
أوضح "عبد الحفيظ" أن الثغرة في الوضع العادي تقدر توصل لكل صلاحيات أبلكيشن "فيس بوك" في الهاتف، مثل: الملفات، الكاميرا، الميكروفون، الإنترنت وأكيد أكونت "فيس بوك"، بجانب لو في جهة قدرت تستخدمها تقدر تستعمل معاها ثغرة في نظام الأندرويد فـتقدر ساعتها الثغرة تعمل أي حاجة في الهاتف المحمول وتعمل كتجسس في الجهاز بشكل دائم".
بداية العمل في البحث الأمنى
قال "سيد":" بدايتي في مجال اكتشاف الثغرات كانت في 30 أغسطس 2017، كانت ثغرة XSS في منتدى أسمه elitepvpers، ومكنش عندهم برنامج مكافئات بس أنا حبيت أبلغهم بالثغرة علشان يحلوها ومع ذلك كفئوني بـ 20 يورو، هي مكافأة بسيطة بس طبيعي لأنهم معندهمش برنامج مكافآت".
Hi, If you want to know how SSRF Vulnerability was exist in Vimeo, you should read: https://t.co/P3iZyQQYdY
Reported through @Hacker0x01 ;)
— Sayed Abdelhafiz (@dPhoeniixx) December 13, 2019
وأضاف في 28 يوليو 2018 اكتشفت نفس الثغرة بس بخطورة أعلى شوية في موقع Vimeo، كان عندهم بالفعل برنامج مكافأت وكانت المكافأة ساعتها 1500 دولار، ودي كانت بداية تركيزي في المجال واكتشفت بعدها ثغرات كتير جدًا في موقع Vimeo بمكافأت مجزية منهم ثغرة أعلنتها علنًا ونشرت عندها تفاصيل تقنية، وسيناريو الثغرة كان كويس ومُختلف، وحاليًا أنا اكتشفت ثغرات في مواقع وتطبيقات كتير منهم: Yahoo, Pinterest, Telegram, Facebook, Indeed, Magisto, Amazon, etc، TikTok