Una nueva vulnerabilidad de Facebook expone información privada de sus usuarios

Estándar

Una vulnerabilidad de seguridad ha sido reportada en Facebook y esta podría haber permitido a los atacantes obtener cierta información privada de los usuarios y sus amigos, lo que podría poner en riesgo la privacidad de los usuarios de la popular red social.

La vulnerabilidad fue descubierta por investigadores de ciberseguridad de la empresa de seguridad informática Imperva. La vulnerabilidad reside en la forma en que la función de búsqueda de Facebook muestra los resultados de las consultas ingresadas.

Según el investigador de Imperva Ron Masas, la página que muestra los resultados de búsqueda incluye elementos iFrame asociados con cada resultado, en los cuales las URL de punto final de esos iFrames no tenían ningún mecanismo de protección para protegerse contra los ataques de falsificación de solicitudes entre sitios (CSRF).

Afortunadamente para los usuarios de Facebook la vulnerabilidad que ha sido hecha publica recientemente ya ha sido reparada y a diferencia de la falla divulgada anteriormente en Facebook que exponía la información personal de 30 millones de usuarios, no permitía a los atacantes extraer información de cuentas de forma masiva.

¿Cómo funciona la vulnerabilidad de búsqueda en Facebook?

Para aprovechar esta vulnerabilidad, todo lo que debe hacer un atacante es simplemente engañar a los usuarios para que visiten un sitio malicioso en su navegador web cuándo ya los usuarios tengan una sesión iniciada con sus cuentas de Facebook.

El sitio malicioso contiene un código JavaScript que se ejecutaría en segundo plano tan pronto como la víctima haga un click en cualquier lugar de la página.

Masas explica en una entrada de su blog publicado el día de ayer lo siguiente: “Para que este ataque funcione necesitamos engañar al usuario de Facebook para que abra un sitio malicioso y haga click en cualquier lugar de dicho sitio malicioso, (esto se debe a que en cualquier sitio podemos ejecutar JavaScript) gracias a esto podemos abrir una ventana emergente o una nueva pestaña a la pagination de búsqueda de Facebook, obligando al usuario a ejecutar cualquier consulta de búsqueda que queramos“.

Como lo demuestra Masas en el vídeo que se muestra a continuación, el código JavaScript abre una nueva pestaña o ventana con un URL de Facebook en la cual se ejecuta una búsqueda con ciertas consultas predefinidas y otras especificamente orientadas a extraer información privada del usuario de Facebook.

La búsqueda de información privada en Facebook parece una técnica de hacking menos lucrativa, especialmente cuando el resultado de la explotación del código devuelve en el resultado sólo sí o no.

Mass ha declarado al portal de noticias de seguridad The Hacker News: “El ataque realmente filtra la cantidad de resultados de búsqueda para cualquier consulta de búsqueda en la cuenta de Facebook actualmente registrada. El uso más básico es hacer consultas booleanas como ‘fotos mías en Islandia’“.

Pero si utiliza correctamente, la función de búsqueda de Facebook podría ser explotados para extraer información sensible relacionados con tu cuenta de Facebook, tales como la comprobación:

  • Si usted tiene un amigo con un nombre específico o una palabra clave en su nombre.
  • Si te gusta una página en concreto o ere miembro de un grupo específico.
  • Si usted tiene un amigo al que le gusta una página en concreto.
  • Si usted ha tomado fotos en una cierta ubicación o país.
  • Si alguna vez ha publicado una Foto tomada en ciertos lugares/países.
  • Si alguna vez ha publicado una actualización de su línea de tiempo que contiene un determinado texto/palabra clave.
  • Si usted tiene amigos que son islámicos.

y así sucesivamente con cualquier consulta que a usted se le pueda ocurrir.

En resumen, la vulnerabilidad exponía los intereses y actividades de los usuarios y sus amigos, incluso si su configuración de privacidad se encuentra en una forma que esta información sólo puede ser visible a ellos o sus amigos. Imperva responsablemente informó del error a Facebook a través del programa de reporte de vulnerabilidades de Facebook en mayo de este año y de la red social resolvió el problema días más tarde con la adición de protecciones contra CSRF.