Agujero en Facebook que permite enviar archivos ejecutables 1

Hablar de agujeros en Facebook se ha hecho ya una costumbre. La red social más utilizada del mundo no destaca precisamente por su seguridad. Además, esa misma popularidad la convierte en un objetivo muy suculento para los cibercriminales. La última vulnerabilidad en salir a la luz permitirí­a al atacante burlar la prohibición de Facebook de mandar archivos ejecutables a otros usuarios de la red, y después valerse de engaños para que los usuarios abrieran el ejecutable infectado.

En principio, Facebook no permite enviar archivos ejecutables dentro de los mensajes (si se pueden enviar documentos o fotos). Pero un desarrollador ha descubierto que si se inspecciona el código que se enví­a al servidor cuando se “pide” enviar un documento, basta con cambiar una lí­nea de ese código (en la que se altera el modo en el que aparece el nombre del archivo ejecutable) y reenviar la petición para que la prohibición de la red social no tenga efecto.

Agujero en Facebook que permite enviar archivos ejecutables 2

El siguiente paso es obvio. Convencer al usuario para que abra el ejecutable que contiene código malicioso (el atacante podrí­a llegar a tomar el control del ordenador de forma remota). Existen muchas técnicas de ingeniera social para conseguir este objetivo: muy a menudo se disfrazan los archivos maliciosos como si se tratara de ví­deos legí­timos que se aprovechan de noticias candentes (no hay que olvidar el ví­deo falso de la muerte de Bin Laden) o tirar por uno de los engaños más viejos de la historia de la humanidad: el sexo. Otro aspecto preocupante es que Facebook permite enviar mensajes a cualquier usuario de la red sin necesidad de que sea un contacto.

El desarrollador, que analiza la forma de aprovecharse de esta vulnerabilidad en un post de su blog, alertó a Facebook de la existencia de este agujero a finales de septiembre. No obstante, no recibió respuesta hasta hace un par de dí­as, momento que utilizó para hacer pública esta vulnerabilidad. La ventaja para el usuario es que este agujero solo funciona si el afectado teclea sobre el archivo ejecutable, así­ que la solución es no abrir nunca un archivo .exe dentro de Facebook.

RECIBE NUESTRO NEWSLETTER
Suscríbete para recibir las últimas noticias de tecnología en tu buzón. Te mandaremos un único mail al día con el resumen de los titulares de las noticias, trucos, comparativas, reviews publicadas en nuestras webs.
Servicio ofrecido por Mailchimp

Otras noticias sobre... ,