• Tweet

El fallo podría permitir a los atacantes mandar software malicioso a personas que no sean sus amigos.

Un investigador de seguridad especializado en pentest, descubrió un grave fallo en Facebook que podría permitir a una persona mandar a aplicaciones maliciosas a cualquier usuario.

Nathan Power, un veterano en seguridad y pentest consultor de CDW, descubrió la vulnerabilidad y la publicó este martes en su blog. El fallo fue reportado a Facebook el 30 de septiembre, quienes reconocieron el problema el miércoles pasado, escribió.

Power, quien no pudo ser contactado inmediatamente, escribió que Facebook normalmente no permite enviar a una persona un adjunto ejecutable usando la pestaña "Mensaje". Si tratas de hacer eso te regresa un mensaje como "Error Uploading: You cannot attach files of that type".

Power escribió que un análisis de la petición "POST" del navegador, enviada a los servidores de Facebook, reveló que una variable llamada "filename" es procesada para ver si el archivo está permitido. Pero por el simple hecho de modificar la petición POST con un espacio, justo después del nombre de archivo, un ejecutable puede ser adjuntado al mensaje.

"Eso fue suficiente para engañar al procesador y permitir que nuestro ejecutable fuera adjuntado y mandado como mensaje", escribió Power.

Una persona no tendría que ser un amigo permitido del remitente, dado que Facebook permite a las personas enviar mensajes a los que no son amigos. El peligro radica en que un usurario malintencionado podría usar técnicas de ingeniería social para engañar y lograr que la víctima ejecute el adjunto, infectando potencialmente su computadora con software malicioso.