Una vulnerabilidad en Facebook permitía borrar fotos de cualquier usuario

facebook_amenaza-623x428

Facebook solucionó hace unos días un fallo de seguridad que permitía a un atacante borrar remotamente cualquier foto que estuviera publicada en la red social. La compañía corrigió el exploit en tan solo de dos horas después de ser reportado, y recompensó a Laxman Muthiyah con 12,500 dólares, según informan desde Mashable.

Muthiyah logró sortear los pasos necesarios para borrar fotografías de forma remota y lo explicó en un post, diciendo que tan pronto como encontró el problema, lo reportó al equipo de seguridad de Facebook. El exploit estaba hecho con unas pocas líneas de código que apenas requerían el ID del álbum de fotos de la víctima, y un token de la app en Android, explica The Register.

Los dueños de las fotos no se enterarían de que estas habían sido borradas, ya que no habría rastros de la acción ni explicaciones de la desaparición del contenido.

El truco consistía en el aprovechamiento de la API Graph de Facebook, un software basado en HTTP que el sitio usa para funcionar. Usando su propio token, Muthiyah pudo engañar al sitio para que le permita manipular las fotos de distintos usuarios, que claramente no le pertenecían.

El exploit tenía limitaciones: en primer lugar, como requería el ID del álbum de fotos, el atacante necesitaba poder verlo, de manera que debía ser “amigo” de la víctima o encontrar un perfil con la configuración de privacidad pública, de manera que el contenido fuera visible para cualquiera.

En segundo lugar, cualquier script para poner en práctica este truco podría ser detenido por controles de seguridad como controladores de tráfico, lo cual significaría que la explotación a gran escala tomaría muchísimo tiempo.

En lo que va de este año, Facebook ha recompensado ya a 19 cazadores de vulnerabilidades, y no es la primera sino la tercera vez que Muthiyah reporta uno, ya que viene haciéndolo desde 2013.

Josep Albors a partir de un post de Alan Martin, ESET

Phishing de iTunes intenta robar tu tarjeta de crédito