PIXEL FACEBOOK
logo-blanco

Bug Permite Leer Conversaciones Privadas De Facebook Messenger

leer conversaciones en facebook

Un investigador de seguridad ha descubierto un fallo de seguridad en Facebook Messenger que podría permitir a un atacante leer toda su conversación privada, afectando la privacidad de alrededor de 1 billón de usuarios de Messenger.

Ysrael Gurt, el investigador de seguridad de BugSec y Cynet, informó de un ataque de cross-origin contra Facebook Messenger que permite a un atacante acceder a sus mensajes privados, fotos y archivos adjuntos enviados en el chat de Facebook.

Para aprovechar esta vulnerabilidad, todo lo que un atacante necesita es engañar a una víctima para que visite un sitio web malicioso; y listo!

Una vez que haga clic, todas las conversaciones privadas de la víctima, ya sea desde una aplicación móvil de Facebook o un navegador web, estarían disponibles para el atacante, ya que la falla afectó tanto al chat web como a la aplicación móvil.

Bautizado como «Originull», la vulnerabilidad radica en el hecho de que los chats de Facebook se administran desde un servidor ubicado en {number}-edge-chat.facebook.com, que está separado del dominio real de Facebook (www.facebook.com).

«La comunicación entre JavaScript y el servidor se realiza mediante una petición XML HTTP Request (XHR) .Para acceder a los datos que llegan de 5-edge-chat.facebook.com en JavaScript, Facebook debe agregar el «Access-Control-Allow-Origin» con el origen de la persona que llama y la cabecera «Access-Control-Allow-Credentials» con el valor «true», para que los datos sean accesibles incluso cuando se envían las cookies», explicó Gurt.

La raíz de este problema fue una implementación de encabezado de origen cruzado mal configurada en el dominio de servidor de chat de Facebook, lo que permitió a un atacante evitar las comprobaciones de origen y acceder a los mensajes de Facebook desde un sitio web externo.

Gurt ha lanzado una demostración del vídeo de como funciona Originull, que muestra el ataque de derivación de origen cruzado en acción.

Sin embargo, las conversaciones secretas, la función de chat encriptado de extremo a extremo de Facebook Messenger no se vieron afectadas por este error, ya que sólo se puede ser iniciado con la aplicación para móviles.

«Este defecto de seguridad significaba que los mensajes de 1 billón de usuarios Messenger activos eran vulnerables por los atacantes», dijo Stas Volfus, director de tecnología de BugSec.

«Este fue un asunto extremadamente serio, no sólo debido al alto número de usuarios afectados, sino también porque incluso si la víctima enviaba sus mensajes usando otra computadora o móvil, seguían siendo completamente vulnerables».

El investigador reveló la grave vulnerabilidad a Facebook a través de su programa Bug Bounty. El equipo de seguridad de Facebook reconoció el problema y corrigió el componente vulnerable.

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos