Otra inseguridad en Facebook (y van…)

(Por Rubén Borlenghi, el Microsaurio) Las fallas de diseño que afectan a la seguridad de los usuarios de Facebook parecen ser tantas que a veces uno se pierde en la maraña de informes alarmantes. Y las peores vulnerabilidades son las más simples, dado que quien examina el código o el comportamiento del software no espera pifiadas tan evidentes, como permitir que se envíe un ejecutable por culpa de un espacio vacío inteligentemente ubicado. Enterate para protegerte.

Sí señor. Leíste bien. Se puede engañar al “detector de ejecutables” que emplea Facebook, metiendo un espacio vacío en el nombre del ejecutable.

El escenario es el siguiente:
Un usuario ingresa a su página de Facebook e intenta enviar un ejecutable a otro usuario, como adjunto, empleando el servicio de mensajes.
Ese ejecutable podría ser malware. Para evitar daños, los servidores de la compañía, tal como Google Mail, Live (Hotmail) o Yahoo, revisan el archivo que se está cargando, y si se trata de un ejecutable, en el caso de Facebook muestran un cartelito que indica un error de archivo, y que no se puede subir “eso” al sistema.
Hasta ahí, todo bien. Pero…

La belleza de lo simple
El observador Nathan Power, de la empresa SecurityPentest, descubrió que con una pequeña modificación se podía engañar al sistema (ah, gloriosas palabras de la época de Strawberry Fields Forever…) y hacer que un ejecutable subiera al server de Facebook y llegara a la compu de cualquier víctima, sin la menor protesta.

El método es tan simple que da escalofríos: poner un espacio vacío después de “exe” en el nombre del archivo. Parece joda.

¿No me hacés caso?… lo publico
Dado que don Nathan queria ganarse la recompensa que el equipo de seguridad de Facebook ofrece a quien les comunique una falla de idem (la suma ofrecida arranca en los 500 Verdes), les avisó el 30 de septiembre. Los de FB, ni bolilla hasta el 26 de octubre (burócratas los muchachos…) en que le contestaron un cortés “chas gracias, lo miramos”, por lo cual el jueves pasado (27) por la noche pateó informáticamente el tablero, publicando el tema en Internet.
Les dolió, pero se pusieron
Parece, al menos, que entonces los de Facebook acusaron el golpe, dado que el mismo hacker informó por mail al día siguiente “…primero me dijeron que para ellos esto no era un problema, lo cual me intrigó (…) parece que el equipo de seguridad de Facebook tuvo problemas reproduciendo mi trabajo y que por eso ellos no le hicieron caso (…) luego de que lo publiqué, el equipo reexaminó el tema y, trabajando conmigo, parecen haber reproducido el bug (…) aceptaron pagarme una recompensa por él…”

Así quedó el asunto. Si usás Facebook, cuidate de los mensajes que contengan adjuntos, porque a éste bicho lo agarraron, pero… nunca se sabe.

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.