Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/10/2011
Descobrixen una gran fallada de seguretat en Facebook
Una vulnerabilitat en Facebook permetria a un ciberpirata enviar programari maliciós a qualsevol usuari de la xarxa social.
S'ha descobert un fallada de seguretat en Facebook, que podria permetre a una persona enviar a qualsevol usuari de la xarxa social aplicacions malicioses.
Ha sigut Nathan Power, consultor de tecnologies de seguretat de CDW, qui ha descobert la vulnerabilitat, publicant la informació de la mateixa en el seu bloc. A Facebook es va avisar de la fallada el 30 de setembre, encara que fins aquesta setmana no ha reconegut l'existència de la vulnerabilitat, assegura Power.
L'investigador ha explicat que normalment Facebook no permet a una persona enviar un executable a través d'un missatge. Si s'intenta, apareix un avís d'error de pujada que, a més, advertix que no es poden adjuntar aqueixos tipus d'arxius.
El truc és l'existència d'una variable que pot modificar-se, ja que els missatges sí que admeten els arxius executables.
A més, el receptor no té perquè ser conegut del remitent, ja que Facebook permet enviar missatges a usuaris que no estan entre els contactes. El perill és que un ciberpirata podria utilitzar tècniques d'enginyeria social per a temptar a algú que llançara l'adjunt, que podria infectar l'ordinador amb codi maliciós.
En el seu article, Nathan Power explica com pot canviar-se la variable perquè puguen enviar-se adjunts executables, per la qual cosa l'exploit està a l'abast de qualsevol.