Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/07/2011
Un investigador espanyol detecta una seriosa vulnerabilitat a Facebook
Un atacant pot manar un enllaç que pareix de la xarxa social però, en realitat, porta a una pàgina exterior sense avisar.
Enèsim forat de seguretat en Facebook: els enllaços no són el que pareixen i punxar-los pot omplir-nos l'ordinador de virus. Ho ha descobert el barceloní Vicente Aguilera, director del Departament d'Auditoria de l'empresa Internet Security Auditors. A pesar de ser un perillós forat, Facebook l'ha ningunejat. "Com sempre", assegura Aguilera.
Vicente Aguilera és un habitual caçaforats del ciberespai. No és la primera vegada que descobreix un en Facebook, però sí que és el més gran. Afecta els enllaços que es comparteixen entre amics, en el mur, en missatges privats o de grup: "Un atacant pot manar un enllaç que pareix de Facebook però, en realitat, et porta a una pàgina exterior sense avisar-te", explica Aguilera.
Per exemple, un "amic" pot posar en el nostre mur un enllaç que ens porta a una foto o una aplicació que pareixen estar dins de Facebook. Però, encara que en la URL vegem l'adreçaa direcció www.facebook.com, en realitat ens mana a un altre lloc, fora de la xarxa social. Aquest lloc pot ser una web on se'ns demanen dades privades ("phishing") o ens introduïsquen un virus en l'ordinador.
És el que s'anomena una "readreça oberta": un enllaç que pareix legítim, però ens redirigeix a un lloc diferent, sense que ho sapiem ni Facebook ens ho notifique. En principi, la xarxa social té un mecanisme de seguretat pel qual ens avisa si un enllaç no confiable ens porta fora, però la fallada descoberta per Aguilera permet botar-se aquest mecanisme de seguretat.
La reacció de Facebook ha sigut "menysprear el risc", explica Aguilera, a qui ja no sorprén que "grans empreses que tracten dades de milions d'usuaris no donen la importància que es mereix a les notificacions de fallades que els enviem. En la majoria de casos no solen demanar-nos més informació ni volen conéixer els detalls".
Aguilera va avisar Facebook aquest cap de setmana, només descobrir la fallada, però la xarxa social li va respondre amb tres línies, negant-ho. L'investigador va insistir, i els va donar més detalls, fins que Facebook ho va admetre però, explica: "Van dir que radica en una funcionalitat que necessiten i, per tant, prefereixen córrer el risc". Atònit, Aguilera va decidir fer pública la fallada.