Facebook lo hizo a tiempo. Solucionó una potencial falla que podría haber expuesto información de sus usuarios. La vulnerabilidad fue hallada por Ron Masas, investigador de Imperva, en mayo. En ese entonces alertó a la compañía sobre este incidente, que ya fue corregido.
Se trata de un ataque de tipo CSRF que hace que se ejecuten acciones no deseadas en una aplicación en la que el usuario está autenticado. El ataque se basa en una vulnerabilidad de Facebook y de Chrome, según remarcó el investigador.
Para que el ataque funcione, un usuario de Facebook, luego de haber iniciado sesión en su perfil, debe hacer clic en un sitio malicioso desde Chrome. Así, el cibercriminal podría abrir una nueva ventana emergente y hacer una serie de consultas para extraer información personal, tal como se muestra en el video.
Según se explica en el blog de Imperva, esto permitiría extraer información personal de los usuarios y de sus amigos. El atacante podría saber los gustos de los usuarios, la ubicación geográfica de las fotos o incluso buscar si se publicaron posteos con determinados textos.
Facebook aseguró que el error se resolvió y que no identificaron que se hubiera explotado esta vulnerabilidad. Además, destacaron que este problema va más allá de Facebook y que podría afectar también a otras aplicaciones web, según publicó The Verge.
Los detalles técnicos:
"A lo largo del proceso de investigación de Chrome, navegué por los resultados de búsqueda online de Facebook, y en su HTML noté que cada resultado contenía un elemento iframe, probablemente utilizado para el seguimiento interno de Facebook", explica Masas en el blog.
Los iFrames son códigos de programación que permiten incrustar un elemento HTML dentro de otro objeto HTML principal. Es como una ventana dentro de la ventana principal.
"Los iFrames, a diferencia de la mayoría de los elementos web, están expuestos en parte a documentos de origen cruzado. Si se combina esto con el problema de CSRF de búsqueda, surge un verdadero problema", detalla el investigador.
Como se explicó anteriormente, para que esto funcione, el usuario de Facebook tiene que ser inducido o engañado para abrir un sitio malicioso y hacer click en él, desde Chorme. Esto permite que se abra una nueva ventana y el atacante puede hacer cualquier consulta que desee.
"Al manipular la búsqueda gráfica de Facebook, es posible hacer consultas que muestren información personal sobre el usuario", detalla Masas en el comunicado.
MÁS SOBRE ESTE TEMA:
Facebook admitió que tuvo un "problema de seguridad" que afectó a 50 millones de usuarios
De qué se trata el problema del "toque fantasma" de los iPhone X y cómo solucionarlo
Últimas Noticias
Senado recibe iniciativa de reforma de Claudia Sheinbaum para prohibir la propaganda extranjera
El proyecto ya fue turnado a las comisiones unidas de Radio, Televisión y Cinematografía; Comunicaciones y Transportes; y Estudios Legislativos
Gobierno anuncia el cierre de Digemid y la creación de Apemec por suero fisiológico que provocó siete muertes
De acuerdo a Gustavo Adrianzén, la nueva Autoridad Nacional de Productos Farmacéuticos, brindará un control más riguroso sobre los productos sanitarios, con la ventaja de contar con una autonomía administrativa y financiera para tomar decisiones imparciales
River Plate pierde contra Independiente del Valle en la altura por la Copa Libertadores
El Millonario busca retener el liderazgo del Grupo B en su visita a Quito. Televisa Fox Sports y Disney+
Hombre encontró muerto a su hijo en su habitación después de buscarlo por toda la casa
El hecho generó sorpresa entre los allegados a la víctima y la comunidad, pues veían al joven como una persona tranquila y sin problemas
Actor que interpretó a Paolo Guerrero es acusado de asesinar a barrista de Universitario
Rony Shapiama fue detenido por la Policía luego de haber sido acusado de causar la muerte de un barrista de Universitario de Deportes
