En más de una ocasión hemos hablado Jane Manchun Wong, una ingeniera de seguridad que se ha encargado de revelarnos varias veces las novedades que traerán aplicaciones y webs, mediante ingeniería inversa. La noticia de hoy tiene relación con Facebook Portal, los altavoces inteligentes de Facebook con pantalla incluida.
Estos altavoces cuentan con una opción llamada Superframe. Este Superframe muestra distintas fotografías cuando el dispositivo está inactivo, así como algunas carátulas de álbumes de fotos y demás. El punto principal es que, las fotografías que muestra, deben ser nuestras, de nuestros álbumes. Saltándose medidas de seguridad, Wang ha logrado poner fotografías fuera de su álbum, en concreto, el álbum de fotografías de perfil de Marck Zuckerberg.
Una fotografía que no se debería poder poner, y que no se puede quitar
I added Mark Zuckerberg’s Profile Picture album to my Facebook Portal’s Superframe when users are supposed to only able to add the albums that they own
— Jane Manchun Wong (@wongmjane) October 30, 2019
I reported this to Facebook and they don't think this is a security vulnerability pic.twitter.com/6IsUpj8Nra
Como cuenta Wong, ha podido añadir el álbum de fotografías de Mark Zuckerberg a su Superframe de Portal, a pesar de que la fotografía no estaba en uno de los suyos, siendo este uno de los requisitos para poder utilizar la función de Superframe. Wong reportó este error a Facebook, y la respuesta que obtuvo, según cuenta, es que esto no es una vulnerabilidad.
Pese a la negativa de Facebook, lo que logró Wong fue introducir una fotografía para la que Superframe no estaba preparado (álbum externo), por lo que la ingeniera no puede eliminarla de ninguna manera. De esta forma, su altavoz de Portal ahora tan solo muestra un álbum de Zuckerberg.
He estado mirando la cara de Mark Zuckerberg todos los días y todas las noches, desde que me despertaba hasta que dormía. gratis. Y yo estoy... bien.
Sometimes I wonder if Mark is staring back at me through the screen, like "Jane... you invited me here, and I will watch you everyday"
— Jane Manchun Wong (@wongmjane) October 30, 2019
Maybe stockholm syndrome? idk pic.twitter.com/mJ25AZPSBg
Más allá de la anécdota, resulta curioso cómo se ha podido vulnerar la política de fotografías que pueden añadirse a Portal, pudiendo así introducir un álbum de cualquier otra persona (teniendo los conocimientos necesarios para hacerlo, eso sí). Queda por ver si la compañía solucionará esto o no en un futuro.
Ver 2 comentarios