Detectan falla crítica en Facebook: Cuidado con adjuntos en mensajes privados
Un tester de penetración de seguridad descubrió una falla crítica en Facebook que permitiría a una persona enviarle a cualquier otra en la red social aplicaciones maliciosas.
Nathan Power, tester de seguridad senior en la consultora de tecnología CDW, descubrió la vulnerabilidad y la expuso al público este jueves en su blog. La falla fue reportada a Facebook el 30 de setiembre, y ellos reconocieron el problema el miércoles, según informó.
Power, que no pudo ser localizado de inmediato, escribió que Facebook no suele permitir a una persona enviar un adjunto ejecutable usando la pestaña de “Mensajes”. De intentarlo, el sistema te devolvería la frase “No puede adjuntar archivos de ese tipo”.
En la entrada, Power escribió un análisis de la solicitud “POST” que el navegador envía a los servidores de Facebook, donde mostraba que una variable llamada “filename” era tamizada para determinar si una carga de archivo resultaba válida. Pero simplemente modificando la solicitud POST con un espacio luego del nombre de archivo, era posible adjuntar un ejecutable al mensaje.
“Esto bastó para engañar al filtro y permitir que nuestro archivo ejecutable se pueda adjuntar y enviar en un mensaje”, agregó Power.
Y puesto que una persona no tiene que ser aceptada como amigo del remitente, ya que Facebook permite a las personas escribirle a otros fuera de sus contactos, el peligro está en que cualquier hacker pueda utilizar técnicas de ingeniería social para engatusar a alguien a abrir el adjunto, infectando así su computadora con software malicioso.
PCWorld intentó contactar a los representantes de Facebook en Londres, sin una respuesta inmediata hasta la tarde del jueves (hora local).
Nathan Power, tester de seguridad senior en la consultora de tecnología CDW, descubrió la vulnerabilidad y la expuso al público este jueves en su blog. La falla fue reportada a Facebook el 30 de setiembre, y ellos reconocieron el problema el miércoles, según informó.
Power, que no pudo ser localizado de inmediato, escribió que Facebook no suele permitir a una persona enviar un adjunto ejecutable usando la pestaña de “Mensajes”. De intentarlo, el sistema te devolvería la frase “No puede adjuntar archivos de ese tipo”.
En la entrada, Power escribió un análisis de la solicitud “POST” que el navegador envía a los servidores de Facebook, donde mostraba que una variable llamada “filename” era tamizada para determinar si una carga de archivo resultaba válida. Pero simplemente modificando la solicitud POST con un espacio luego del nombre de archivo, era posible adjuntar un ejecutable al mensaje.
“Esto bastó para engañar al filtro y permitir que nuestro archivo ejecutable se pueda adjuntar y enviar en un mensaje”, agregó Power.
Y puesto que una persona no tiene que ser aceptada como amigo del remitente, ya que Facebook permite a las personas escribirle a otros fuera de sus contactos, el peligro está en que cualquier hacker pueda utilizar técnicas de ingeniería social para engatusar a alguien a abrir el adjunto, infectando así su computadora con software malicioso.
PCWorld intentó contactar a los representantes de Facebook en Londres, sin una respuesta inmediata hasta la tarde del jueves (hora local).
0 comentarios :
Publicar un comentario