Facebook adquiere Face.com: una empresa de reconocimiento facial con una grave vulnerabilidad [solucionada]

Como probablemente sabrás, Facebook ha adquirido una compañía llamada Face.com. Su principal cometido es el reconocimiento facial de personas en fotografías. Esta funcionalidad, que no es nueva, ya la introdujo Google en su red Google+, y evidentemente, Facebook no podía ser menos: si quieres competir con un gigante, más te vale tener todas sus armas.

Hasta aquí, nada nuevo. La empresa es israelí y ha pasado de ser una startup a ingresar 100 millones de dólares por la adquisición. ¡Ahí es nada! Nos alegramos por ellos 😉

 ESET España - Facebook adquiere Face.com

Entre otras cosas, la compañía distribuye una aplicación para móviles llamada “KLIK”, que permite a los usuarios etiquetar las caras de sus amigos en tiempo real. Más fácil imposible: haces la foto, los etiquetas directamente y la publicas ya lista para avisar a tu red de amigos.

Sin embargo, investigadores del ámbito de seguridad descubrieron hace algunos días que la aplicación contenía una vulnerabilidad que permite el acceso a la información de otros usuarios de KLIK, incluyendo las claves de autentificación (es decir, usuarios y passwords) de acceso a Facebook y Twitter, entre otros.

Es decir… Face.com permite (permitía, sería la forma correcta de decirlo) a cualquiera acceder a las cuentas de usuarios de Facebook y de Twitter garantizando el acceso a fotos y al módulo “social graph”, incluso si esta información tiene el máximo nivel de privacidad y no es pública.

Es preocupante, sobre todo porque el principal cometido de esta aplicación es el reconocimiento facial, íntimamente ligado a la privacidad de los usuarios. Pero tranquilo, te contamos cómo lo hace, pero antes de que sigas leyendo tienes que sabes que supuestamente ya está solucionada, dicen…

Pero hay más… No solo te permite acceder a fotos privadas, sino que permitiría a un atacante que explotara esta vulnerabilidad manipular la aplicación de Face.com de forma que automáticamente reconociera a cualquier persona en la calle. Imaginemos si nos cruzáramos con Lady Gaga: no solo nos diría quién es (en el caso de que no lo supiéramos, supuesto harto difícil ;-), sino que tendríamos acceso a sus cuentas en redes sociales (LOL!).

ESET España - Vulnerabilidad en Face.com

ESET España - Vulnerabilidad en Face.com

Vamos un paso más allá: además de facilitar el acceso a datos privados (fotos, listas, mensajes privados, etc.), la vulnerabilidad también permite a un atacante publicar comentarios en el nombre del perfil hackeado desde sus cuentas de Facebook y Twitter.

El descubridor de esta vulnerabilidad ha hecho la prueba, y como puedes ver en las siguientes imágenes, no le ha costado nada postear desde la aplicación en su muro y su Twitter.

Detalles técnicos

Face.com almacena los tokens de autentificación de Facebook y Twitter en sus servidores de forma insegura, posibilitando de esta manera que cualquier usuario pueda solicitar dicha información sin ningún tipo de restricción. Específicamente, una vez que un usuario se ha descargado la aplicación KLIK, la ha instalado y se ha registrado, el app está preparado para almacenar las contraseñas de Facebook y Twitter “de forma segura”.

De esta manera, cuando quiere consultar alguna información, el app hace llamadas a https://mobile.face.com/mobileapp/getMe.json y el servicio le devuelve los “service_tokens” de Facebook, permitiendo en ese momento al usuario el acceso a la cuenta del usuario en la popular red social. Si el app KLIK se ha conectado con la cuenta del usuario de Twitter, por ejemplo para twitear sus fotos o publicarlas en Instagram, un atacante podría conseguir sus claves de usuario y password de la misma manera.

En general, los servicios que almacenan en caché los tokens de autentificación de los usuarios en la nube corren el riesgo de ser atacados si no se han tomado las suficientes medidas de seguridad, como le ha pasado hace unos días a los usuarios de Tweetgif.

ESET España - Vulnerabilidad en Face.com

Afortunadamente en este caso, el descubridor de la vulnerabilidad se ha puesto manos a la obra con el equipo de Face.com y de Facebook y Twitter para solucionar la brecha de seguridad, que actualmente parece que está solventada.

Por si acaso, si eres usuario de Face.com y de su aplicación KLIK, te recomendamos que revoques sus permisos en las redes sociales, la desinstales de tu dispositivo móvil y procedas a instalarla de nuevo si quieres volver a utilizarla. Así eliminaremos el riesgo de estar expuestos porque no hemos procedido a actualizar nuestros apps.

 

Yolanda Ruiz Hervás

@yolandaruiz

Fuente original: http://ashkansoltani.org/docs/face_palm.html

Google bloquea 3 millones de accesos diarios a sitios fraudulentos o con malware