Blog Wallpaper
A
ALI ALAKABRالأحد، 20 يوليو 2025

حصلت على 5000$ بعد اكتشاف ثغرة IDOR في Meta AI تُمكن من سرقة الصور الخاصة للمستخدمين !

منذ 29 يوم

Area Iconالأمن السيبراني - صيد الثغرات

أثناء قيامي بمراجعة أمنية على منصة Meta AI، اكتشفت ثغرة خطيرة من نوع Insecure Direct Object Reference (IDOR)، تتيح للمهاجمين الوصول إلى الصور الخاصة التي تم إنشاؤها باستخدام الذكاء الاصطناعي، بل وحتى الاستيلاء عليها بالكامل.

رغم أن الثغرة تُعتبر من الثغرات "الكلاسيكية" والمعروفة، إلا أن هذا المثال يُظهر أن حتى أكبر المنصات وأكثرها تطورًا ممكن أن تقع ضحية لأخطاء بسيطة متعلقة بالتحكم في الوصول.

ما هي منصة Meta AI؟

هي منصة متقدمة من شركة Meta (فيسبوك سابقًا) تسمح للمستخدمين بإنشاء محتوى باستخدام تقنيات الذكاء الاصطناعي، مثل إنشاء صور أو نصوص اعتمادًا على الأوامر التي يكتبها المستخدم. المنصة تجمع بين واجهات محادثة ذكية (مثل المساعدين الافتراضيين) وإمكانيات توليد صور احترافية.

تفاصيل الثغرة – الوصول غير المصرح به والتحكم في الصور الخاصة

ما هي ثغرة IDOR؟

"الرجوع غير الآمن إلى كائن مباشر" تعني أن النظام يسمح بالوصول إلى بيانات أو موارد داخلية فقط لأن المستخدم غيّر قيمة "معرّف" (مثل ID) بدون أي تحقق من الصلاحيات. وهذا ما حصل هنا.

خطوات إعادة إنتاج الثغرة:

  1. إنشاء صورة كأي مستخدم عادي:
    أولًا، تقوم بتوليد صورة باستخدام أداة الذكاء الاصطناعي الخاصة بالمنصة. يتم ربط هذه الصورة بهويتك أو جلستك الخاصة.
  2. طلب نقل ملكية الصورة أو نقلها لمجلد آخر:
    المنصة تتيح للمستخدمين نقل الصور بين المساحات أو المجلدات.
  3. اعتراض الطلب عبر Burp Suite:
    خلال عملية النقل، يتم إرسال طلب إلى السيرفر يحتوي على متغير اسمه image_set_id (وهو معرف الصورة). مثال للطلب:
الطلب المُرسل
الطلب المُرسل
  1. تغيير معرف الصورة image_set_id:
    هنا تكمن الثغرة، إذ يمكنك استبدال معرف الصورة بمعرّف صورة خاصة تعود لمستخدم آخر (ممكن تكون عرفت المعرف من مصدر آخر أو تخمين).
  2. إرسال الطلب المعدّل:
    بعد الإرسال، يتم نقل الصورة إلى حسابك، ويُفقد المستخدم الأصلي صلاحية الوصول إليها... بدون أي تحقّق أو تنبيه.

التأثير الأمني

هذا النوع من الثغرات يُعد خطير جدًا خصوصًا في منصات تعتمد على محتوى خاص تم إنشاؤه بواسطة المستخدمين. من التأثيرات المحتملة:

  • الوصول إلى صور خاصة تم إنشاؤها بواسطة الذكاء الاصطناعي بدون إذن.
  • نقل ملكية الصور وسحبها من المستخدمين الأصليين.
  • منع المستخدم الحقيقي من مشاهدة أو استرجاع صوره.
  • إمكانية جمع صور المستخدمين على نطاق واسع عبر سكريبتات أو أدوات آلية.

الخلاصة

هذه الثغرة تعتبر مثالًا واضحًا على كيف يمكن لثغرة IDOR البسيطة أن تسبب مشاكل ضخمة، حتى في أنظمة مدعومة بتقنيات متقدمة كالذكاء الاصطناعي.

ما دام النظام يعامل الكائنات (مثل الصور) على أنها مجرد أرقام ID يمكن تعديلها، فالثغرات ستكون دائمًا قريبة. الحل؟ تحقق دقيق من صلاحيات المستخدم على كل طلب.

كلمة شكر:

تم الإبلاغ عن هذه الثغرة بشكل مسؤول إلى Meta ضمن برنامج المكافآت بواسطة الباحث الأمني علي جعفر. وبمكافئة 5000$

سوبرسايبر | حصلت على 5000$ بعد اكتشاف ثغرة IDOR في Meta AI تُمكن من سرقة الصور الخاصة للمستخدمين !