Otro día, otra vulnerabilidad de Facebook

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Otra vulnerabilidad de seguridad ha sido reportada en Facebook que podría haber permitido a los atacantes obtener cierta información personal sobre los usuarios y sus amigos, lo que podría poner en riesgo la privacidad de los usuarios de la red social más popular del mundo.

La vulnerabilidad reside en la forma en que la función de búsqueda de Facebook muestra los resultados de las consultas ingresadas.

La página que muestra los resultados de búsqueda incluye elementos iFrame asociados con cada resultado, donde las URL de punto final de esos iFrames no tenían ningún mecanismo de protección para protegerse contra los ataques de falsificación de solicitudes entre sitios (CSRF).

Se debe tener en cuenta que la vulnerabilidad recién informada ya ha sido reparada y, a diferencia de la falla divulgada anteriormente en Facebook que exponía la información personal de 30 millones de usuarios, no permitía a los atacantes extraer información de cuentas masivas de una vez.

¿Cómo funciona la vulnerabilidad de búsqueda en Facebook?

Para aprovechar esta vulnerabilidad, todo lo que debe hacer un atacante es simplemente engañar a los usuarios para que visiten un sitio malicioso en su navegador web donde ya han iniciado sesión en sus cuentas de Facebook.

facebook-hacking-software

El sitio malicioso contiene un código javascript que se ejecutará en segundo plano tan pronto como la víctima haga clic en cualquier lugar de esa página.

Para que este ataque funcione, debemos engañar a un usuario de Facebook para que abra nuestro sitio malicioso y haga clic en cualquier lugar del sitio (puede ser cualquier sitio en el que podamos ejecutar JavaScript), lo que nos permite abrir una ventana emergente o una nueva pestaña en Facebook. “Página de búsqueda, lo que obliga al usuario a ejecutar cualquier consulta de búsqueda que el actor malicioso desee.

El código JavaScript abre una nueva pestaña o ventana con una URL de Facebook que ejecuta ciertas consultas de búsqueda predefinidas y mide el resultado para extraer información específica.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris