GNU/Linux

Vulnerabilidad en Facebook permitía modificar mensajes de chat

0

Según el investigador Roman Zaikin de Check Point, puede podía utilizarse un simple truco HTML para aprovecharse del chat en línea de Facebook. Esto permite que cualquiera pueda modificar o eliminar un mensaje, foto, archivo o enlace enviado a través de este mensajero. Aunque el error es simple, podría ser aprovechado por usuarios malintencionados para enviar enlaces legítimos en un chat de Facebook y luego cambiarlo por un enlace malicioso que podría conducir a una instalación de malware en el sistema de la víctima.

El “exploit” funciona funcionaba en la manera de que Facebook identifica cada uno de los mensajes de chat. Cada mensaje tiene un identificador único “message_id” que podría ser revelado enviando una solicitud afacebook.com/ajax/mercury/thread_info.php. Una vez que el “message_id” es identificado, un atacante podría alterar el contenido de los mensajes y enviarlos a los servidores de Facebook que aceptan el “nuevo” contenido como legítimo y lo envían nuevamente a la víctima, como muestra el video.

“Explotando esta vulnerabilidad, los delincuentes podrían cambiar un hilo entero de chat sin que la víctima se diera cuenta”, dijo Oded Vanunu, jefe de investigación de Check Point. “Lo que es peor, se podrían implementar técnicas de automatización para superar continuamente las medidas de seguridad y lograr alteraciones a largo plazo del chat”.

Los investigadores descubrieron la vulnerabilidad y notificaron a Facebook acerca de la falla, el cual ya lo solucionó. El gigante se movió rápidamente para solucionar la vulnerabilidad, aunque Facebook explicó que la falla sólo afectaba a su aplicación de Messenger en Android. “Aplaudimos a Facebook por tal respuesta rápida y por poner primero a sus usuarios” dijeron los investigadores.

Root Me: aprende hacking rompiendo y jugando

Previous article

GSM Capturing, Decoding with USRP and SDR in Kali Linux Rolling Edition

Next article

You may also like

Comments

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

More in GNU/Linux