Si tienes habilitada la función de sincronización automática de fotos de Facebook en tu iPhone, iPad o tus dispositivos Android, ten cuidado porque los atacantes pueden robar tus fotos personales sin tu conocimiento.

En 2012, el gigante de las redes sociales introdujo la función de sincronización de fotos de Facebook (Facebook Photo Sync) para iPhone, iPad y dispositivos Android, los cuales, en caso de habilitarla, permiten a Facebook sincronizar automáticamente todas las fotos guardadas en tu dispositivo móvil con tu cuenta de Facebook.

Las fotos sincronizadas desde el teléfono se cargan automáticamente a un álbum privado de Facebook que no es visible para ninguno de los amigos del usuario en la red social o para otros usuarios. Sin embargo, después es posible compartir las fotos desde el álbum en el muro de Facebook o mandarlas como mensajes a los amigos.

Laxman Muthiyah, un cazador de recompensas de vulnerabilidades, descubrió un fallo crítico en la función de sincronización de fotos de Facebook y en la API de Facebook que permite a cualquier aplicación de terceros acceder a tus fotos personales desde tu álbum oculto de fotos sincronizadas.

Esto nos recuerda a "The Fappenings" y a "The Snappening", en las cuales fotografías personales y de desnudos de las celebridades fueron filtradas debido a una falla de seguridad en el servicio de almacenamiento de archivos iCloud de Apple y por la aplicación no oficial del servicio de mensajería Snapchat, respectivamente.

En una entrada de blog publicada el 18 de marzo, Laxman explicó que la vulnerabilidad reside en los mecanismos de privilegios con los cuales se les permite a las aplicaciones acceder a las fotos sincronizadas usando vualtimages API.

"La parte más vulnerable es cuando se identifica al dueño del token de acceso y no a la aplicación que está haciendo la petición. Así que eso permite a cualquier aplicación con permisos sobre user_photos (fotos almacenadas en los dispositivos de los usuarios) leer las fotos de tu teléfono móvil," escribió Laxman en la entrada del blog. 

Técnicamente, el álbum privado sincronizado debe ser accesible sólo por la aplicación oficial de Facebook, pero la vulnerabilidad permite a cualquier aplicación de terceros obtener permisos para ver las fotos personales sincronizadas.

Laxman previamente reveló una vulnerabilidad en el mecanismo de la API Graph que permitía borrar cualquier álbum de fotos en Facebook perteneciente a cualquier usuario, cualquier página o cualquier grupo. 

Cómo deshabilitar Auto-Sync

Aunque Facebook ha corregido la vulnerabilidad reportada por Laxman y lo ha recompenzado con 10 mil dólares gracias a su programa de recompensas de errores (bugs), se recomienda a los usuarios de Facebook deshabilitar la función de sincronización automática de fotos sólo para estar seguros.

Para hacerlo, solo se tiene que ir al menú de la aplicación de Facebook, desplazarse hacia abajo y seleccionar: Cuenta > Configiguración de Aplicación > Sincronización de Fotos y finalmente escoger “No sincronizar mis fotos”.

Puedes ver un video con la demostración aquí.