Vulnerabilidad en Facebook permite adjuntar ejecutables en los mensajes

Actualización: el 1 de noviembre la vulnerabilidad fue solucionada.

La siguiente vulnerabilidad fue descubierta por Nathan Power de SecurityPentest.com, yo la descubrí por medio del excelente blog de seguridad HackPlayers. A continuación comento el problema con un ejemplo clásico, una supuesta foto que en realidad es un ejecutable.

Cuando se intenta enviar un mensaje con un archivo .exe adjunto se recibe una advertencia como la siguiente:

exe-adjunto-advertencia

Esto es así por razones obvias de seguridad, sin embargo una simple modificación del parámetro POST y la variable filename permiten adjuntar el ejecutable para ser enviado a cualquier usuario. Simplemente se necesita agregar un espacio en el nombre del archivo filename=»foto.exe «

ejecutable-mensaje-facebook

Una vez realizado el cambio Facebook no puede comprobar que se trata de un ejecutable y lo adjunta. Cuando el usuario lo recibe puede descargarlo con un simple clic:

adjunto-ejecutable-facebook

vulnerabilidad-facebook-ejecutables
Un clic descarga el ejecutable

Creo que no es necesario aclarar el impacto del problema, la mayoría de los usuarios no tiene habilitadas las extensiones de Windows y para muchos es lo mismo que un archivo sea EXE, JPG, PDF o lo que sea… le hacen doble clic a todo y más cuando el mensaje parece ser enviado por un amigo.

Cable aclarar que el investigador reportó el problema a Facebook el pasado 30 de setiembre, el 26 de octubre Facebook lo reconoce y al día siguiente la información se hace pública.

Ver también:
Troyanos en el chat de Facebook que simulan ser fotos.
3 amigos pueden cambiar tu contraseña en Facebook.
Dominios acebook, facebok y faecbook .com utilizados para engañar.

7 comentarios en «Vulnerabilidad en Facebook permite adjuntar ejecutables en los mensajes»

        • Utilizando la extensión Tamper Data en Firefox, no es difícil de utilizar… tendrías que probarla para ir viendo cómo funciona. Lo que comento en el post del .exe ya no funciona en Facebook, lo arreglaron.

          Pero si vuelvo a publicar algo por el estilo, lo publico con tutorial.

          Responder

Deja un comentario