Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/12/2011
El sistema de correu de Facebook permet suplantar la identitat
Un internauta espanyol ha remés un informe a Inteco sobre el problema.- Es tracta d’un defecte del protocol de correu, no exclusiu de la xarxa social.
Un internauta espanyol, Alfredo Arias, de Lleó, ha denunciat una fallada en el sistema de correu de Facebook, que permet la suplantació de la identitat. Arias va remetre la seua investigació a Inteco, que l’ha publicada en el seu butlletí de seguretat. Arias també ha fet públic el problema en el seu bloc.
Segons explica Arias, amb tan sols conéixer l’adreça de correu de dos contactes, el del remitent i el del receptor, és possible enviar correus que apareixen en Facebook com a missatges privats i que semblen un contacte fiable.
Segons Inteco, este defecte «es deriva del mateix protocol de correu electrònic d’Internet, que és el que utilitza Facebook i altres proveïdors de servici semblants, i que no permet per defecte assegurar el receptor qui és l’autèntic emissor del correu». Es tracta d’un problema ja conegut, però «encara que el problema és comú a tots els servicis de correu, en Facebook adquirix major dimensió a l’integrar-se amb l’ecosistema de la pròpia xarxa social. Els missatges suplantats apareixerien com una notificació més, amb el seu nom i imatge associada, i cosa que pot resultar més perillosa: els atacants podrien investigar els contactes de la víctima (moltes vegades públics) i utilitzar-ne algun per a la suplantació, fent el missatge molt més creïble. O inclús utilitzar el perfil d’algun famós».
El sistema de suplantació és realment senzill i es pot dur a terme per mitjà d’un simple formulari web, omplint els camps remitent, destinatari i missatge. Este correu electrònic s’envia al correu associat a Facebook i apareix dins de la conversació que l’usuari que el rep mantenia amb el contacte que suposadament li l’envia. L’aspecte és pràcticament idèntic a un missatge privat a través de la xarxa social i difícil d’identificar. En la pàgina web ocorre de vegades, no totes, que Facebook advertix que no li ha sigut possible confirmar que siga del contacte. En el mòbil, este avís no apareix.
Inteco ha posat en coneixement de Facebook el problema. Inteco va fer la prova suplantant Lady Gaga.