Un desarrollador afirma que los enlaces que compartes en Facebook Messenger son vulnerables

Un desarrollador afirma que los enlaces que compartes en Facebook Messenger son vulnerables

2 comentarios Facebook Twitter Flipboard E-mail
Un desarrollador afirma que los enlaces que compartes en Facebook Messenger son vulnerables

Que nuestra privacidad en Facebook es absolutamente relativa, que depende de múltiples factores y que la plataforma de Zuckerberg cuenta con un compendio de información que asustaría a cualquiera que se pare a mirar es una realidad sobradamente conocida que la actualidad noticiosa se ha encargado de plasmar a lo largo de todo su desarrollo.

Sin embargo, las opciones en la configuración de nuestra cuenta así como la posibilidad de compartir enlaces a través de conversaciones privadas parecían ofrecer ciertas garantías. Algo que, según parece, se ha encargado de desmantelar, a través de Medium, un investigador. En concreto lo que ha descubierto es que los enlaces compartidos de manera individual con otros usuarios pueden ser obtenidos con relativa facilidad.

¿Conseguir enlaces privados?

Face2

Se trata de Inti De Ceukelaire, especialista en seguridad y que ha explicado al citado medio de comunicación cómo trata Facebook Messenger los links intercambiados de esta manera. Y lo ha hecho, precisamente (y siempre teniendo en cuenta sus declaraciones), consiguiendo algunos de ellos. Eso sí, a priori no podemos olvidar comentar que se encuentra registrado como desarrollador.

De hecho, afirmó demostrar su “teoría” de la mano de una serie de herramientas habilitadas para desarrolladores como el rastreador de Facebook, que fue quien reveló enlaces que le llevaron desde a noticias hasta documentos de cierta relevancia contenidos en Google Docs. Pero veamos cómo explica su logro.

Un vistazo a…
CLUBHOUSE LA RED SOCIAL de mensajes de VOZ Qué es cómo entrar y cómo se usa

El proceso

Face2

Ceukalaire, de esta manera, partió de la vulnerabilidad que descubrieron los investigadores de seguridad de Checkpoint a principios de esta misma semana; un fallo de seguridad que permitía a los atacantes cambiar los mensajes y enlaces enviados a través de Facebook Messenger; y una posibilidad que le llevó a indagar más allá, incluso después de que los de Zuckerberg parchearan el error.

Así, este especialista explica cómo, la primera vez que un enlace específico se comparte en la plataforma, extrae la imagen en miniatura del título, la descripción y asigna un número de identificación; una información que se encarga de almacenar para, la próxima vez que nos muestre el vínculo, buscarlo en su base de datos.

Face3

De hecho, su sistema otorga una cifra a todos los objetos almacenados, desde imágenes, hasta estados y similares. Una cifra única y una identidad en la que, por ejemplo, Mark Zuckerberg es el cuatro (tal y como puede verse en la imagen inferior). Además, cualquier desarrollador puede solicitar un elemento a través de este dígito, a través de la API de Facebook, que le dará esta información únicamente si tiene el correspondiente permiso de acceso.

Esto significa, entre otros y para que te hagas una composición de lugar, que no puede acceder a la actualización de estado de una persona sin su consentimiento. Todo correcto, pues. Sin embargo, y después de “juguetear” durante un tiempo con esta característica (y obtener constantes mensajes de error) este investigador se percató de que no siempre era así. “Cuando estaba a punto de abandonar, apareció una URL”, comenta.

Face4

Una dirección que decidió enviar a su solicitud inicial. “Para mi sorpresa, esto funcionó. En ese punto me pregunté si también podría usar esto para ver enlaces que otros usuarios habían compartido durante sus conversaciones privadas”. Para comprobarlo, le pidió a un amigo (Bas Declerq) que crease un documento en Google Docs y que se lo enviase a sí mismo a través de Facebook Messenger.

Docuenviado
Faceasdfsd1
Faceasdfasdf2

Seguidamente y valiéndose del depurador de Facebook (Open Graph Debugger), Bas consiguió el número de identificador del mensaje. Unos dígitos que le proporcionó a Ceukelaire y que este buscó en su propia cuenta, topando, sorprendentemente y tal y como parecen reflejar las capturas de pantalla, con el link al doc.

Faceasdfasdf3

Por nuestra parte, hemos tratado de recrear este problema sin éxito, pues lo único que hemos obtenido han sido mensajes de error.

Captura De Pantalla 2016 06 12 A Las 13 57 54

Al margen de lo comentado y para acabar, cabe recalcar que el experimento de Inti De Ceukelaire no fue llevado a cabo a gran escala, sino que el investigador se centró en este y otros pocos ejemplos con el objetivo de evitar que Facebook suspendiese su cuenta.

En todo caso, podría haberlo hecho cualquier otro con unas intenciones que excediesen el mero hecho de informar y evidenciar a la red social ante este problema (que por cierto, no se ha mostrado demasiado preocupada al respecto).

Fuente | Medium

En Genbeta | Cómo descargar tu contenido de Facebook

Comentarios cerrados
Inicio