Conexión a Facebook un Terrible Error de autenticación

Los investigadores de seguridad han descubierto una falla que crea un medio para que un sitio web malicioso tome los datos privados de los usuarios de Facebook sin su consentimiento, así como para que envié mensajes suplantando al usuario en la red social.

El error que está relacionado con la autenticación fue descubierto por los investigadores Rui Wang y Zhou Li, quienes reportaron el error a Facebook la semana pasada. La red social respondió al reporte con un parche  en el error el fin de semana pasado, y mediante la adición de Rui y Zhou a su lista de investigadores de seguridad que han ayudado a hacer a Facebook más segura para los usuarios.
La vulnerabilidad sólo aparece si el usuario ha visitado una web maliciosa mientras está conectado en Facebook y sólo en los perfiles de la red social que permite la ejecución de aplicaciones, una característica que la gran mayoría de los usuarios de Facebook permiten. Cuando se ejecuta con éxito, el ataque podría tener consecuencias potencialmente embarazosas.
“Si el usuario ha permitido que un sitio web – YouTube, Farmville o ESPN, etc – seconecte a Facebook, perderá sus datos privados a causa del sitio web malicioso, o incluso permitira que el sitio web publique, mensajes de phishing en Facebook asu nombre”,explicó Rui.
Errores de este tipo, que permiten la divulgación de información provienen con frecuencia de ataques Web, como cross-site scripting y la falsificación de petición cross-site. En este caso, sin embargo, la vulnerabilidad se debe a un error en uno de los mecanismos de autenticación de Facebook, explica Rui.
La vulnerabilidad permite que el sitio web malicioso se haga pasar por otros sitios web para engañar a Facebook, y obtener los mismos permisos para acceso a datos de Facebook que estos sitios web reciben. Bing.com por defecto tiene el permiso para acceder a la información básica de cualquier usuario de Facebook como el nombre, el genero, etc, así que nuestro malicioso sitio web es capaz de explotar la información de los usuarios (de-anonimizar) haciéndose pasar por Bing.com. Además, debido a las necesidades del negocio, hay muchos sitios web que solicitan  permisos, incluyendo el acceso a los datos privados del usuario, y a la publicación de contenido en Facebook en su nombre. Por lo tanto, mediante la suplantación de estas páginas web, nuestro sitio web puede obtener los mismos permisos para robar los datos privados o enviar mensajes de phishing en Facebook en nombre del usuario.
El explotador  es genérico, por lo que no es necesario escribir un explotador para cada aplicación para Facebook / página web. El único parámetro que necesitamos es el ID de la aplicación de una aplicación para Facebook / página web.
Los dos investigadores – que previamente descubrieron una serie de ataques de canal de banda (side channel attacks) relacionados con aplicaciones web – han ilustrado el ataque a través de un video publicado en YouTube que se pueden encontrar aquí.
Informamos de esta vulnerabilidad a los expertos en seguridad de Sophos, quienes confirmaron que la vulnerabilidad era real – pero sólo en los casos en que un usuario de Facebook permita las aplicaciones. La Instalación de un navegador basado en Flash Player es otro requisito necesario para conseguir este ataque.
“El Sitio web de Facebook es claramente una pieza compleja de software, y es casi inevitable que se puedan encontrar vulnerabilidades y errores de vez en cuando”, explicó un investigador de seguridad de Sophos. “El riesgo es que hay mucha información personal de los usuarios en situación de riesgo.
“El equipo de seguridad de Facebook debería ser aplaudido por arreglar  la vulnerabilidad”
Fuente: Bitdefender

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: