Pesquisadores de segurança descobriram um bug perigoso do Facebook que permite que hackers e usuários mal-intencionados excluam fotos de usuários sem acessar suas contas. Verificou-se que a vulnerabilidade fazia parte do recurso de pesquisa implementado recentemente.
Bug do Facebook pode acionar exclusão arbitrária de fotos por usuários mal-intencionados
Sendo o Facebook a mídia social mais importante, descobriu-se que contém uma outra vulnerabilidade de segurança. Um especialista em segurança iraniano revelou um bug no sistema que praticamente permite que qualquer pessoa exclua uma foto (ou outro tipo de imagem postada) de qualquer usuário do Facebook sem precisar acessar sua conta. Após a investigação, o problema foi identificado em um novo recurso relacionado à função de votação da rede social. O pesquisador descobriu que os programadores do Facebook criaram uma falha no código que permite que usuários de malware manipulem o site para excluir o conteúdo postado.
A descoberta é uma surpresa, pois o recurso de pesquisa foi introduzido no início deste mês, tanto no site para desktop quanto nos aplicativos móveis. É usado pelos usuários do Facebook para criar enquetes e fazer upload de fotos ou imagens GIF animadas para acompanhar as opções propostas. Este procedimento realmente contém o código vulnerável que é na verdade uma falha na implementação.
Como funciona o bug do Facebook
O princípio por trás do bug descoberto no Facebook é bem simples. Cada vez que um usuário cria uma votação no site, os valores dos campos contendo imagens são postados enviando uma solicitação GET de rede para o local do host remoto. Como outros componentes da web, cada imagem recebe um determinado componente ou ID automaticamente. O pesquisador de segurança descobriu que, se a imagem for alterada, o ID exato será exposto na própria enquete.
O Facebook depende fortemente de um mecanismo de script complexo que alimenta o site, permitindo que os usuários executem comandos nele se tiverem acesso aos valores e permissões necessários. Uma vez que o ID da imagem foi exposto e o site permite a execução de comandos, o criador da enquete pode efetivamente excluir a foto de qualquer pessoa no Facebook usando o ID da imagem descoberta.
Abuso semelhante não é desconhecido para o Facebook. No passado, desenvolvedores da web e especialistas em segurança relataram uma técnica Graph API que também permite a exclusão de imagens de fotos de usuários do Facebook sem acessar suas contas diretamente. Os incidentes e vulnerabilidades relatados mostram que, embora as redes sociais continuem a crescer com a adição de novos recursos, elas devem se concentrar mais em segurança mais rígida e análise de código completa. Felizmente, nenhum abuso foi relatado até agora.