Agujero en Facebook que permite enviar archivos ejecutables 1

Hablar de agujeros en Facebook se ha hecho ya una costumbre. La red social más utilizada del mundo no destaca precisamente por su seguridad. Además, esa misma popularidad la convierte en un objetivo muy suculento para los cibercriminales. La última vulnerabilidad en salir a la luz permitirí­a al atacante burlar la prohibición de Facebook de mandar archivos ejecutables a otros usuarios de la red, y después valerse de engaños para que los usuarios abrieran el ejecutable infectado.

En principio, Facebook no permite enviar archivos ejecutables dentro de los mensajes (si se pueden enviar documentos o fotos). Pero un desarrollador ha descubierto que si se inspecciona el código que se enví­a al servidor cuando se «pide» enviar un documento, basta con cambiar una lí­nea de ese código (en la que se altera el modo en el que aparece el nombre del archivo ejecutable) y reenviar la petición para que la prohibición de la red social no tenga efecto.

Agujero en Facebook que permite enviar archivos ejecutables 2

El siguiente paso es obvio. Convencer al usuario para que abra el ejecutable que contiene código malicioso (el atacante podrí­a llegar a tomar el control del ordenador de forma remota). Existen muchas técnicas de ingeniera social para conseguir este objetivo: muy a menudo se disfrazan los archivos maliciosos como si se tratara de ví­deos legí­timos que se aprovechan de noticias candentes (no hay que olvidar el ví­deo falso de la muerte de Bin Laden) o tirar por uno de los engaños más viejos de la historia de la humanidad: el sexo. Otro aspecto preocupante es que Facebook permite enviar mensajes a cualquier usuario de la red sin necesidad de que sea un contacto.

El desarrollador, que analiza la forma de aprovecharse de esta vulnerabilidad en un post de su blog, alertó a Facebook de la existencia de este agujero a finales de septiembre. No obstante, no recibió respuesta hasta hace un par de dí­as, momento que utilizó para hacer pública esta vulnerabilidad. La ventaja para el usuario es que este agujero solo funciona si el afectado teclea sobre el archivo ejecutable, así­ que la solución es no abrir nunca un archivo .exe dentro de Facebook.

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.