Podría extraer información confidencial relacionada con tu cuenta de Facebook
Ha sido reportada en Facebook otra vulnerabilidad de seguridad que podría haber permitido a los atacantes obtener cierta información personal sobre los usuarios y sus amigos, lo que podría poner en riesgo la privacidad de los usuarios de la red social más popular del mundo.
Descubierta por investigadores de ciberseguridad de Imperva, la vulnerabilidad reside en la forma en que la función de búsqueda de Facebook muestra los resultados de las consultas ingresadas.
Según el investigador de Imperva Ron Masas, la página que muestra los resultados de búsqueda incluye elementos de iFrame asociados con cada resultado, donde las URLs de punto final de esos iFrames no tenían ningún mecanismo de protección establecido para proteger contra ataques de falsificación de solicitud entre sitios (CSRF).
Se debe tener en cuenta que la vulnerabilidad recién informada ya ha sido reparada y, a diferencia de la falla divulgada anteriormente en Facebook que exponía la información personal de 30 millones de usuarios, no permitía a los atacantes extraer información de cuentas masivas de una vez.
¿Cómo funciona la vulnerabilidad de búsqueda en Facebook?
Para aprovechar esta vulnerabilidad, todo lo que debe hacer un atacante es simplemente engañar a los usuarios para que visiten un sitio malicioso en su navegador web donde ya han iniciado sesión en sus cuentas de Facebook.
El sitio malicioso contiene un código javascript que se ejecutará en segundo plano tan pronto como la víctima haga clic en cualquier lugar de esa página.
"Para que este ataque funcione, debemos engañar a un usuario de Facebook para que abra nuestro sitio malicioso y haga clic en cualquier lugar del sitio, (este puede ser cualquier sitio en el que podamos ejecutar JavaScript), lo que nos permite abrir una ventana emergente o una nueva pestaña en la página de búsqueda de Facebook, lo que obliga al usuario a ejecutar cualquier consulta de búsqueda que queramos", explicó Masas en una publicación de blog publicada ayer.
Como lo demostró Masas en el vídeo que se muestra a continuación, el código JavaScript abre una nueva pestaña o ventana con una URL de Facebook que ejecuta ciertas consultas de búsqueda predefinidas y mide el resultado para extraer información específica.
Buscar algo en Facebook parece menos lucrativo, especialmente cuando el código de vulnerabilidad devuelve el resultado solo en sí o no.
"El ataque en realidad filtra la cantidad de resultados de búsqueda para cualquier consulta de búsqueda en la cuenta de Facebook actualmente registrada. El uso más básico es hacer consultas booleanas como 'fotos mías de Islandia'", dijo Masas.
Pero si se usa correctamente, la función de búsqueda de Facebook podría ser explotada para extraer información confidencial relacionada con tu cuenta de Facebook, como verificar:
• Si tienes un amigo con un nombre específico o una palabra clave en su nombre
• Si te gusta una página en particular o eres miembro de un grupo específico
• Si tienes un amigo al que le gusta una página en particular
• Si has tomado fotos en un determinado lugar o país
• Si alguna vez has publicado una foto tomada en ciertos lugares/países
• Si alguna vez has publicado una actualización en tu línea de tiempo que contiene un texto/palabra clave específica
• Si tienes amigos islamicos
Y así sucesivamente ... cualquier consulta personalizada que puedas encontrar.
"Este proceso puede repetirse sin la necesidad de abrir nuevas ventanas emergentes o pestañas, ya que el atacante puede controlar la propiedad de ubicación de la ventana de Facebook", agregó Masas. "Esto es especialmente peligroso para los usuarios móviles, ya que la pestaña abierta puede perderse fácilmente en segundo plano, lo que permite al atacante extraer los resultados para múltiples consultas, mientras el usuario está viendo un vídeo o leyendo un artículo en el sitio del atacante".
En resumen, la vulnerabilidad expuso los intereses y las actividades de los usuarios específicos y sus amigos, incluso si su configuración de privacidad está configurada de manera que esta información solo pueda ser visible para ellos o para sus amigos.
En mayo de 2018 Imperva informó responsablemente el error a Facebook a través del programa de divulgación de vulnerabilidades de la compañía, y el gigante de las redes sociales resolvió el problema días después agregando protecciones CSRF.
Hace casi tres meses, Masas también informó sobre una impresionante vulnerabilidad de navegador web que expone todo lo que otras plataformas web, como Facebook y Google, conocen sobre ti. También lanzó una prueba de concepto explotando el error.