Exploit en Facebook permitía que borren tus fotos remotamente

Facebook ha solucionado una falla que permitía a atacantes borrar remotamente cualquier foto que estuviera publicada en la red social. La compañía corrigió el exploit en el transcurso de dos horas después de que fue reportado, y recompensó a Laxman Muthiyah con 12,500 dólares, según reporta Mashable.

Muthiyah logró saltear los pasos necesarios para borrar fotografías en forma remota y lo explicó en un post, diciendo que tan pronto como encontró el problema, lo reportó al equipo de seguridad de Facebook. El exploit estaba hecho con unas pocas líneas de código que apenas requerían el ID del álbum de fotos de la víctima, y un token de la app en Android, explica The Register.

Los dueños de las fotos no se enterarían de que estas han sido borradas, ya que no habría rastros de la acción ni explicaciones de la desaparición del contenido.

El trucho consistía en la explotación de la API Graph de Facebook, software basado en HTTP que el sitio usa para funcionar. Usando su propio token, Muthiyah pudo engañar al sitio para que le permita manipular las fotos de distintos usuarios, que claramente no le pertenecían.

El exploit tenía limitaciones: en primer lugar, como requería el ID del álbum de fotos, el atacante necesitaba poder verlo, de manera que debía ser “amigo” de la víctima o encontrar un perfil con la configuración de privacidad pública de manera que el contenido sea visible para cualquiera.

En segundo lugar, cualquier script para poner en práctica este truco podría ser detenido por controles de seguridad como controladores de tráfico, lo cual significaría que la explotación a gran escala tomaría muchísimo tiempo.

En lo que va de este año, Facebook ha agradecido ya a 19 cazadores de bugs, y no es la primera sino la tercera vez que Muthiyah reporta uno: ya lo viene haciendo desde 2013.

Autor , ESET

Síguenos