Los responsables de la red social han sido alertados por un
investigador de numerosos problemas que han sido encontrados en las
aplicaciones que la red social tiene disponibles para el sistema
operativo Android. Estos fallos de seguridad provocaban que una tercera persona pudiese llevar a cabo el robo de cuentas de Facebook.
Además de la aplicación de la red social y de Facebook Messenger para Android, Mohamed Ramadan,
investigador egipcio, ha detectado otra vulnerabilidad que afecta al
gestor de páginas que posee para el sistema operativo móvil. Aunque
podría pensarse que se trata de la misma vulnerabilidad en las tres
aplicaciones, se tratan de tres fallos distintos, pero cuyas
consecuencias serían la misma, terminando ambos en el robo de la cuenta
del usuario o de la página.
El problema se encuentra en los token, o lo que es lo mismo,
la llave del usuario para poder acceder a su cuenta y que podría ser
robado con tan solo enviar un archivo multimedia por parte del atacante.
Explicación del fallo de seguridad
Seguro que muchos de vosotros no habéis entendido todavía el sentido que tiene enviar un archivo multimedia para robar el token que permite el acceso a la cuenta de usuarios. El motivo es muy simple y está relacionado con el manejo que Android hace de las contraseñas que se utilizan en las aplicaciones.Una vez que el usuario acepta la recepción de el archivo multimedia el token del usuario es almacenado en los mensajes de log de Android, concrétamente en logcat, permitiendo además que este token pueda ser utilizado en otras aplicaciones permitiendo el inicio de sesión sin la necesidad de que el usuario tenga que proporcionar sus datos.
El administrador de páginas también sufre problemas de seguridad
Como decíamos al principio, los fallos de seguridad son distintos pero el resultado sigue siendo el del robo de la cuenta. En este caso y a diferencia del anterior, no es necesario la descarga de ningún tipo de fichero multimedia para que el token se almacene en un log del sistema operativo. En este caso, la propia aplicación de gestión de páginas permite que este sea compartido con el resto de aplicaciones si lo solicitan.Además hay que añadir que el uso de los tokens no expira y son válidos durante un tiempo ilimitado.
Fuente | The Hacker News
0 comentarios:
Publicar un comentario