Paranoia Hack Jueves, 25 septiembre 2014

Yo puedo cerrar tu sesión de Facebook sin tu permiso. Mira cómo prevenirlo

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

¿Qué pasaría si la sesión de tu Facebook se cierra cada 10 minutos? Podría sucederle a cualquier usuario por culpa de una fallo en la famosa Red Social, una vulnerabilidad que vamos a demostrar para que el público sepa que Facebook no es cien por ciento seguro. Observa como un ataque puede volverse masivo y cerrar la sesión a decenas de usuarios.

vulnerabilidad-facebook-cerrar-sesion

Cabe señalar que la vulnerabilidad la encontró Gustavo Nicolas Ogawa (@chinoogawa), pentester argentino, curioso y sagaz que decidió bautizar este fallo como “Facebook Friendly Logout”, que consiste en forzar la petición GET para llamar a la función de ‘cerrar sesión’ por medio de un código que reemplazará a la etiqueta de imagen (<img>) que va dentro una nota de Facebook, entones, cuando carguen las ‘Noticias Nuevas’ en la pantalla de un usuario, el navegador intentará leer la imagen de la ‘Nota’ pero lo que interpretará será el código de ‘logout de sesión’, quedando el (los) usuario(s) desconectado(s). Es decir, no necesitarán dar clic a ningún enlace, con visualizar en tu pantalla la publicación será suficiente.

El Chino Ogawa desarrolló una herramienta en python para hacer más dinámico su descubrimiento, luego de probar el fallo, él nos facilitó un enlace con la vulnerabilidad para que el público experimente y tome conciencia que nada en Internet es seguro, incluido Facebook, que dicho sea de paso, no acepta, ni arregla esta falla para el bien de los usuarios. Pasamos a la demostración de Hacking Ético con algunos voluntarios:

amigos-desconectados-facebook_00SE CREA LA NOTA EN FACEBOOK INSERTANDO EL CÓDIGO DE CERRAR SESIÓN

 

DEMOSTRACIÓN EN VIVO POR EL PROGRAMA EN CONTACTO, MARCO SIFUENTES.
 

DEMOSTRACIÓN CREANDO UNA NOTA CON LA VULNERABILIDAD.
 

PRUEBA / SOLUCIÓN

Si quieres probar el error bajo tu voluntad, te recomiendo que pruebes con tu cuenta o que consultes a tus contactos para no incomodarlos. Asimismo, toma los siguientes alcances para que el error no se quede en los cookies de tu navegador. Es una demostración ética que no conlleva a ningún riesgo.

1) Usar un browser distinto al que siempre navegan.
2) Usar el navegador en ‘Modo Incognido’ o ‘Modo Privado’ para no almacenar las cookies.

navegador-incognito-privado

 

Si hiciste la prueba y no leiste las indicaciones de arriba, es posible que persista el error de desconectarte, como solución deberás borrar las cookies de tu navegador y si tienes un iPhone volver a instalar la aplicación de facebook. Luego de ello, no existe ninguna manera de protegerse, solo tener la piedad de quienes conocen la vulnerabilidad. Recrear la falla no es tan sencillo, por ello el Chino Ogawa dejó el siguiente enlace: http://www.facebook.com/gustavonicolas.ogawa/posts/1544408595794219

amigos-desconectados-facebook_borrar-cookies

DAÑO COLATERAL

La vulnerabilidad puede parecer útil solo para molestar a tus contactos. Sin embargo, alguien podría etiquetar a las empresas rivales y dejar a sus ‘Community Manager’ fuera de linea. El error puede volverse molesto cuando queda grabado en las cookies del navegador, haciendo que el usuario se desconecte de manera repetitiva, en el caso de los iPhone tendrán que desinstalar la aplicación de Facebook y volverla a descargar. Veamos algunas de las reacciones del público voluntario.

MARCO SIFUENTES LUEGO DE EXPERIMENTAR EL CIERRE DE SESIÓN DE SU FACEBOOK

 

 

 

 

amigos-desconectados-facebook_0

 

amigos-desconectados-facebook_1
amigos-desconectados-facebook_2

amigos-desconectados-facebook_5-

amigos-desconectados-facebook_6

amigos-desconectados-facebook_7

 

amigos-desconectados-facebook_3

 

amigos-desconectados-facebook_8

 

 

 

 

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.
Secured By miniOrange