Facebook ha solucionado una falla que permitía a atacantes
borrar remotamente cualquier foto que estuviera publicada en la red social.
La compañía corrigió el exploit en el transcurso de dos horas después
de que fue reportado, y recompensó a Laxman Muthiyah
con 12,500 dólares, según reporta Mashable.
Muthiyah logró saltear los pasos necesarios para borrar
fotografías en forma remota y lo explicó en un post, diciendo
que tan pronto como encontró el problema, lo reportó al
equipo de seguridad de Facebook. El exploit estaba hecho
con unas pocas líneas de código que apenas requerían el ID del álbum
de fotos de la víctima, y un token de la app en Android, explica The Register.
Los dueños de las fotos no se enterarían de que estas han sido borradas, ya
que no habría rastros de la acción ni explicaciones de la desaparición del contenido.
El trucho consistía en la explotación de la API Graph de
Facebook, software basado en HTTP que el sitio usa para funcionar.
Usando su propio token, Muthiyah pudo engañar al sitio para que le permita
manipular las fotos de distintos usuarios, que claramente no le pertenecían.
El exploit tenía limitaciones: en primer lugar, como requería el ID del álbum
de fotos, el atacante necesitaba poder verlo, de manera que debía
ser “amigo” de la víctima o encontrar un perfil con la configuración de
privacidad pública de manera que el contenido sea visible para cualquiera.
En segundo lugar, cualquier script para poner en práctica este truco podría
ser detenido por controles de seguridad como controladores de tráfico, lo cual
significaría que la explotación a gran escala tomaría muchísimo tiempo.
En lo que va de este año, Facebook ha agradecido ya a 19 cazadores de bugs,
y no es la primera sino la tercera vez que Muthiyah reporta uno:
ya lo viene haciendo desde 2013.
Autor Alan Martin, ESET
Facebook ha solucionado una falla que permitía a atacantes
borrar remotamente cualquier foto que estuviera publicada en la red social.
La compañía corrigió el exploit en el transcurso de dos horas después
de que fue reportado, y recompensó a Laxman Muthiyah
con 12,500 dólares, según reporta Mashable.
Muthiyah logró saltear los pasos necesarios para borrar
fotografías en forma remota y lo explicó en un post, diciendo
que tan pronto como encontró el problema, lo reportó al
equipo de seguridad de Facebook. El exploit estaba hecho
con unas pocas líneas de código que apenas requerían el ID del álbum
de fotos de la víctima, y un token de la app en Android, explica The Register.
Los dueños de las fotos no se enterarían de que estas han sido borradas, ya
que no habría rastros de la acción ni explicaciones de la desaparición del contenido.
El trucho consistía en la explotación de la API Graph de
Facebook, software basado en HTTP que el sitio usa para funcionar.
Usando su propio token, Muthiyah pudo engañar al sitio para que le permita
manipular las fotos de distintos usuarios, que claramente no le pertenecían.
El exploit tenía limitaciones: en primer lugar, como requería el ID del álbum
de fotos, el atacante necesitaba poder verlo, de manera que debía
ser “amigo” de la víctima o encontrar un perfil con la configuración de
privacidad pública de manera que el contenido sea visible para cualquiera.
En segundo lugar, cualquier script para poner en práctica este truco podría
ser detenido por controles de seguridad como controladores de tráfico, lo cual
significaría que la explotación a gran escala tomaría muchísimo tiempo.
En lo que va de este año, Facebook ha agradecido ya a 19 cazadores de bugs,
y no es la primera sino la tercera vez que Muthiyah reporta uno:
ya lo viene haciendo desde 2013.
Autor Alan Martin, ESET
No hay comentarios.:
Publicar un comentario