SOCIAL SECURITY | Noticias | 31 OCT 2011

Facebook resta importancia a una vulnerabilidad descubierta en su web

Facebook ha restado importancia a la supuesta vulnerabilidad de su página web que podría permitir a los hackers enviar un archivo potencialmente malicioso a cualquiera en Facebook.
Paula Bardera

La cuestión se refiere a una característica de Facebook que permite a un usuario enviar a otro que no es su amigo un mensaje con un archivo adjunto. Facebook prohíbe enviar archivos ejecutables, pero una prueba de seguridad encontró un modo de eludir ese filtro.

Nathan Power, que trabaja para la consultora tecnológica CDW, escribió en su blog que Facebook analiza parte de una petición de POST al servidor para ver si el archivo enviado debería ser permitido.

Si se adjunta un ejecutable, Facebook advierte que no puede ser enviado. Pero modificando la petición de POST, específicamente con un espacio extra después del nombre del archivo que va a enviarse, un ejecutable podría adjuntarse. Eso supone un peligro porque podría permitir que un hacker enviara, por ejemplo, un programa de keylogging a otro usuario en un tipo de ataque phishing. La víctima entonces necesitaría ser convencida para abrir y ejecutar el archivo.

En un comunicado, el responsable de seguridad de Facebook, Ryan McGeehan, escribió que, para que un ataque tenga éxito, es necesaria “una capa adicional de ingeniería social”. Además, solo permite al atacante enviar un archivo renombrado a otro usuario de Facebook cada vez. facebook vulnerabilidad

Facebook no se basa únicamente en la identificación de un archivo por lo que parece su nombre para proteger a los usuarios, sino que también realiza un escaneo de seguridad de los archivos “por lo que contamos con una defensa profunda para este tipo de ataques”, ha escrito McGeehan. Además, ha explicado que los proveedores de correo electrónico deben enfrentarse al mismo problema con los archivos adjuntos maliciosos y que “este descubrimiento es una parte muy pequeña del modo en que protegemos contra esta amenaza global”.

“Al final del día, es más práctico para un chico malo esconder un .exe en una página web tras un acortador de URL, que es algo con lo que llevamos tiempo tratando”.



Noticias relacionadas

Casi la mitad de las PYMES españolas está presente en las redes sociales

El 40 por ciento de los usuarios se siente inseguro cuando utiliza Facebook

Un ataque en Facebook utiliza publicidad maliciosa sin intervención del usuario

Facebook refuerza la protección contra malware

El phishing llega a Facebook

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información