7 jun. 2016

Vulnerabilidad en Facebook permitía modificar mensajes de chat

¿Cómo hackear una cuenta de Facebook (antes era MSN)? Es probablemente la pregunta más grande estúpida que puede encontrarse en Internet, pero ahora investigadores han demostrado cómo se puede podía  alterar mensajes enviados a través de Facebook Messenger para Android.
Según el investigador Roman Zaikin de Check Point, puede podía utilizarse un simple truco HTML para aprovecharse del chat en línea de Facebook. Esto permite que cualquiera pueda modificar o eliminar un mensaje, foto, archivo o enlace enviado a través de este mensajero. Aunque el error es simple, podría ser aprovechado por usuarios malintencionados para enviar enlaces legítimos en un chat de Facebook y luego cambiarlo por un enlace malicioso que podría conducir a una instalación de malware en el sistema de la víctima.

El "exploit" funciona funcionaba en la manera de que Facebook identifica cada uno de los mensajes de chat. Cada mensaje tiene un identificador único "message_id" que podría ser revelado enviando una solicitud a facebook.com/ajax/mercury/thread_info.php. Una vez que el "message_id" es identificado, un atacante podría alterar el contenido de los mensajes y enviarlos a los servidores de Facebook que aceptan el "nuevo" contenido como legítimo y lo envían nuevamente a la víctima, como muestra el video.
"Explotando esta vulnerabilidad, los delincuentes podrían cambiar un hilo entero de chat sin que la víctima se diera cuenta", dijo Oded Vanunu, jefe de investigación de Check Point. "Lo que es peor, se podrían implementar técnicas de automatización para superar continuamente las medidas de seguridad y lograr alteraciones a largo plazo del chat".

Los investigadores descubrieron la vulnerabilidad y notificaron a Facebook acerca de la falla, el cual ya lo solucionó. El gigante se movió rápidamente para solucionar la vulnerabilidad, aunque Facebook explicó que la falla sólo afectaba a su aplicación de Messenger en Android. "Aplaudimos a Facebook por tal respuesta rápida y por poner primero a sus usuarios" dijeron los investigadores.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!