A todos nos gusta Facebook, pero ¿sabemos qué tan seguro es? Al parecer,, no tan seguro como debería ser, como se describe por el investigador de seguridad independiente Jack Whitton también conocido como fin1te. El investigador del Reino Unido acaba de publicar una historia increíble que implica un error de XSS (cross-site-scripting) y la red de distribución de contenidos de Facebook.
El investigador informó del fallo en julio 2015 pero no hacerlo público solo hasta hace pocos días.
¿Por qué son errores de XSS peligroso?
¿Qué es una vulnerabilidad XSS? Un ataque XSS-powered se lleva a cabo cuando los actores maliciosos ejecutar scripts maliciosos a sitios web legítimos. Una vulnerabilidad XSS es explotado cuando, por ejemplo, enviar un contenido del sitio web que incluye código JavaScript malicioso embebido. El sitio web incluirá más adelante el código en su respuesta.
Cada vez que un sitio web muestra el contenido que proviene de otra fuente (como un archivo cargado o incluido en una dirección URL), el sitio web debe filtrar los personajes sospechosos. Tenga en cuenta que este tipo de personajes y por lo general incluyen soportes < > señales. Dichas señales se utilizan para denotar partes de una página que debe ser gestionado como imágenes, campo de golf, guiones, etc.
El escarabajo de XSS en Photos.Facebook.com
Lo que se encontró fin1te? El investigador encontró una manera de crear una URL en photos.facebook.com, redirigida para asignar su archivo especialmente diseñado de la red de distribución de contenidos (CDN). En otras palabras, logró subir un script oculto a la CDN, y recuperar con la ayuda de un enlace inocentemente enmascarada.
Una vez que un usuario hace clic, la secuencia de comandos se ejecuta en el navegador como si fuera un guión oficial de Facebook. Si el usuario está conectado, la secuencia de comandos diseñada podría hacer prácticamente cualquier cosa que el usuario haría - publicar mensajes, fotos, obtener acceso a los datos privados, etc.
Teniendo en cuenta cómo funciona una red social, este tipo de scripts fácilmente podría ir viral, en un aspecto negativo. Es por ello que un ataque con un error de XSS podría ser referido como una amenaza de gusano. Puede ser desplegado para propagarse automáticamente a través de cualquier red, convirtiendo así en un gusano de red o virus.
El error XSS se fijó casi inmediatamente después de que el investigador informó a Facebook. No obstante, esperó medio año para que sea público para que los ingenieros de seguridad de Facebook tienen tiempo suficiente para implementar una solución mejor. Él fué premiado $7500.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: