Día a tras día, la gestión de seguridad con las que cuenta
las páginas web de las redes sociales en las que frecuentamos mejoran cada vez
más. Uno de los usos más frecuentes que los usuarios le dan a Facebook el es
chat, y conforme a este, se generó un gran bug que permite espiar dichas conversaciones.
Más de mil millones de usuarios son afectados por esta
vulnerabilidad, Ysrael Gurt, el investigador de seguridad en BugSec y Cynet
informó sobre este bug indicando que con la ayuda de esta vulnerabilidad, no
solo se puede acceder tus mensajes si no, además, fotos, archivos, y cualquier cosa
que adjuntaste en un chat de Facebook.
Lo único que se necesita para explotar esta vulnerabilidad
es engañar al usuario para que visite a una página web maliciosa y eso es todo,
posteriormente logrando acceder a tod la información previamente indicada. La
vulnerabilidad en realidad se encuentra en el hecho de que los chats de
Facebook se gestionan desde un servidor ubicado en {número}
-edge-chat.facebook.com, que está separado del dominio real de Facebook (www.facebook.com).
"La comunicación entre el JavaScript y el servidor se
realiza mediante la solicitud HTTP XML (XHR). Con el fin de acceder a los datos
que se reciban a partir 5-edge-chat.facebook.com en JavaScript, Facebook tiene
que añadir el" Access-Control-Allowance origen "de cabecera con el
origen de la persona que llama, y el" "encabezado con"
Access-control-Allow-Credenciales verdadero "valor, por lo que los datos
son accesibles incluso cuando se envían las cookies," indicó Gurt.
La base de esta vulnerabilidad además, se encuentra en la
mala configuración de la aplicación de encabezado de origen cruzado al dominio
del servidor de chat de Facebook logrando así a un atacante burlarse de la seguridad
informática con facilidad al eludir controles de origen desde una web externa.
A continuación, un video que explica este bug.
Recordemos que, Facebook al utilizar un certificado SSL/TLS
no llega a ser afectado con respecto al cifrado de extremo a extremo.
Luego de ser público el bug, el equipo de seguridad de Facebook
inmediatamente generaron un parche para eliminar dicha vulnerabilidad.
Ahora solo queda tener más cuidado de la información que pasas
por tu chat, ya sea de una red social o no…
No hay comentarios:
Publicar un comentario