Redirección abierta, otra vulnerabilidad en Facebook
Un atacante puede mandar un enlace que parece ser de la red social pero, en realidad, lleva a una página exterior sin avisar.
Enésimo agujero de seguridad en Facebook: los enlaces no son lo que parecen y pincharlos puede llenarnos el ordenador de virus. Lo ha descubierto el barcelonés Vicente Aguilera, director del Departamento de Auditoría de la empresa Internet Security Auditors. A pesar de ser un peligroso agujero, Facebook lo ha ninguneado. "Como siempre", asegura Aguilera.
Vicente Aguilera es un habitual cazaagujeros del ciberespacio. No es la primera vez que descubre uno en Facebook, pero sí es el más grande. Afecta a los enlaces que se comparten entre amigos, en el muro, en mensajes privados o de grupo: "Un atacante puede mandar un enlace que parece ser de Facebook pero, en realidad, te lleva a una página exterior sin avisarte", explica Aguilera.
Por ejemplo, un "amigo" puede poner en nuestro muro un enlace que nos lleva a una foto o una aplicación que parecen estar dentro de Facebook. Pero, aunque en la URL veamos la dirección www.facebook.com, en realidad nos manda a otro sitio, fuera de la red social. Este sitio puede ser una web donde se nos pidan datos privados ("phishing") o nos introduzcan un virus en el ordenador
Es lo que se llama una "redirección abierta": un enlace que parece legítimo, pero nos redirige a un sitio diferente, sin que lo sepamos ni Facebook nos lo notifique. En principio, la red social tiene un mecanismo de seguridad por el que nos avisa si un enlace no confiable nos lleva fuera, pero el fallo descubierto por Aguilera permite saltarse este mecanismo de seguridad.
La reacción de Facebook ha sido "despreciar el riesgo", explica Aguilera, a quien ya no sorprende que "grandes empresas que tratan datos de millones de usuarios no dan la importancia que se merece a las notificaciones de fallos que les enviamos. En la mayoría de casos no suelen pedirnos más información ni quieren conocer los detalles".
Aguilera avisó a Facebook este fin de semana, nada más descubrir el fallo, pero la red social le respondió con tres líneas, negándolo. El investigador insistió, dándoles más detalles, hasta que Facebook lo admitió pero, explica: "Dijeron que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo". Atónito, Aguilera decidió hacer público el fallo.
Fuente: El País
Enésimo agujero de seguridad en Facebook: los enlaces no son lo que parecen y pincharlos puede llenarnos el ordenador de virus. Lo ha descubierto el barcelonés Vicente Aguilera, director del Departamento de Auditoría de la empresa Internet Security Auditors. A pesar de ser un peligroso agujero, Facebook lo ha ninguneado. "Como siempre", asegura Aguilera.
Vicente Aguilera es un habitual cazaagujeros del ciberespacio. No es la primera vez que descubre uno en Facebook, pero sí es el más grande. Afecta a los enlaces que se comparten entre amigos, en el muro, en mensajes privados o de grupo: "Un atacante puede mandar un enlace que parece ser de Facebook pero, en realidad, te lleva a una página exterior sin avisarte", explica Aguilera.
Por ejemplo, un "amigo" puede poner en nuestro muro un enlace que nos lleva a una foto o una aplicación que parecen estar dentro de Facebook. Pero, aunque en la URL veamos la dirección www.facebook.com, en realidad nos manda a otro sitio, fuera de la red social. Este sitio puede ser una web donde se nos pidan datos privados ("phishing") o nos introduzcan un virus en el ordenador
Es lo que se llama una "redirección abierta": un enlace que parece legítimo, pero nos redirige a un sitio diferente, sin que lo sepamos ni Facebook nos lo notifique. En principio, la red social tiene un mecanismo de seguridad por el que nos avisa si un enlace no confiable nos lleva fuera, pero el fallo descubierto por Aguilera permite saltarse este mecanismo de seguridad.
La reacción de Facebook ha sido "despreciar el riesgo", explica Aguilera, a quien ya no sorprende que "grandes empresas que tratan datos de millones de usuarios no dan la importancia que se merece a las notificaciones de fallos que les enviamos. En la mayoría de casos no suelen pedirnos más información ni quieren conocer los detalles".
Aguilera avisó a Facebook este fin de semana, nada más descubrir el fallo, pero la red social le respondió con tres líneas, negándolo. El investigador insistió, dándoles más detalles, hasta que Facebook lo admitió pero, explica: "Dijeron que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo". Atónito, Aguilera decidió hacer público el fallo.
Fuente: El País
Ayer estuve trabajando en esta misma vulnerabilidad, investigando y viendo que se podia hacer. La verdad es que me di cuenta que existia ese "security token" y fue un obstaculo, ya que para poder obtener el Token de seguridad hay que seguir una serie de pasos y no es algo trivial, por lo que complica demasiado el hecho de explotar la vulnerabilidad.
ResponderBorrarEl principal problema que encontramos al explotar esta vulnerabilidad es que la persona tiene que haber aceptado el token previamente. Facebook si avisa cuando una URL te va a llevar a un sitio externo, pero en este caso avisa segun el token, no segun la URL. Es decir, tu aceptas un token y luego todas las URLs que vengan con ese token seran aceptadas sin preguntarte, lo que si corresponde a una brecha de seguridad.
Exactamente Zerial, así lo explica Vicente en seclists donde la publicó originalmente.
ResponderBorrarCristian
Me olvidaba, no creo que la aceptación del token inicial sea un problema porque los usuarios aceptan cualquier cosa :)
ResponderBorrarCristian
Claro, los usuarios solo pinchan en "aceptar" porque lo unico que quieren es ver el contenido de lo que le estan enviando y con este tipo de cosas facebook no esta ayudando mucho a esa "inocencia" de los usuarios ... Esta facilitandole las cosas al atacante.
ResponderBorrarEso es verdad aveces por el afán de llegar a sierta información no nos fijamos en lo que realmente estamos aceptando ni con que fin, y esto es un mal habito que debemos aprender a dejar a un lado por que no sabemos cuales puedan ser las consecuencias más adelante de dar un aceptar.
ResponderBorrarestoy con ese problema en mi facebook.... como hago para solucionarlo?
ResponderBorrarexcelente informacion, muy buen contenido.
ResponderBorrarsaludos
me gusto el blog, son excelentes articulos
ResponderBorrarfelicidades.