Una nueva herramienta permite a los piratas informáticos generar direcciones URL que pueden secuestrar las cuentas en los sitios que utilizan el inicio de sesión de Facebook, lo que potencialmente puede derivarse en poderosos ataques de phishing.

La herramienta llamada Reconnect fue lanzada la semana pasada por Egor Homakov, investigador de la firma de seguridad Sakurity. Se aprovecha de un problema de cross-site request forgery (CSRF) en Facebook, en el servicio que permite a los usuarios iniciar sesión en los sitios de terceros mediante sus cuentas de Facebook.

Homakov divulgó el problema en su blog personal en enero de 2014, después de que Facebook se negó a corregirlo, ya que al hacerlo tendría incompatibilidad con un gran número de sitios que utilizan el servicio.

"Facebook se negó a solucionar este problema hace un año, por desgracia es el momento de llevarlo al siguiente nivel y dar a los blackhats esta sencilla herramienta", dijo Homakov en una entrada de blog el jueves.

El ataque implica la generación de URL maliciosas. Cuando las víctimas potenciales son engañadas para hacer clic en las URL, se cierran las sesiones de sus propias cuentas de Facebook para después ingresar en las redes sociales que han sido establecidas por los atacantes. Asimismo, en segundo plano, las cuentas en los sitios web que utilizan inicio de sesión de Facebook están vinculadas a cuentas de Facebook creadas con fines maliciosos.

Esto le da a los atacantes el control sobre las cuentas de las víctimas en esos sitios de terceros, lo que les permite cambiar las contraseñas, leer mensajes privados y realizar otras acciones deshonestas sobre las cuentas secuestradas, dijo Homakov.

La herramienta Reconnect, según pruebas de concepto, también puede generar URL maliciosas para secuestrar cuentas en Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable y Vimeo. Sin embargo, muchos sitios con soporte de inicio de sesión de Facebook pueden convertirse en blancos al introducir manualmente con la herramienta los enlaces que crean la solicitud de inicio de sesión de Facebook en nombre de sus usuarios.

En total, el ataque explota la falta de protección de CSRF durante tres procesos, el inicio de sesión de Facebook, el cierre de sesión de Facebook y la conexión de la cuenta de terceros, dijo Homakov. Los dos primeros procesos pueden ser corregidos por Facebook, pero el tercero debe ser corregido por los sitios que integran el inicio de sesión de Facebook.

Facebook trató de hacer el problema más difícil de explotar, tanto como fue posible sin romper la funcionalidad, también ha proporcionado orientación a los desarrolladores de sitios web.

"Este es un comportamiento bien estudiado", dijo la compañía en un comunicado enviado por correo electrónico. "Los desarrolladores de sitios donde utilizan el inicio de sesión pueden evitar este problema siguiendo nuestras mejores prácticas y con el parámetro que ofrece OAuth para el inicio de sesión".

"También hemos implementado varios cambios para ayudar a prevenir la entrada de CSRF y estamos evaluando otros mientras preservamos la funcionalidad necesaria para un gran número de sitios que dependen del inicio de sesión de Facebook ", dijo la compañía.