Básicamente esta vulnerabilidad consiste en lo siguiente: puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro.
La verdad es que es realmente sencillo, creo un simple formulario web con los campos (remitente, destinatario y mensaje).
Como facebook activó la cuenta de usuarios para recibir correos electrónicos usuario@facebook.com es el que uso como destinatario.
El correo electrónico (casi siempre visible en los perfiles) es el que utilizo como remitente.
Y ese es el resultado:
Expongo a continuación los pasos que he seguido para conseguirlo:
Busco en el apartado de información un correo electrónico vinculado a facebook.
Obtengo en nombre de usuario del que recibirá el mensaje (pongo mi propio ejemplo, pero he probado a enviarlo a amigos y el resultado es idéntico).
Relleno el formulario con usuario de facebook y correo del remitente.
Pasados unos minutos facebook me avisa que tengo un mensaje nuevo.
Abro el mensaje y vemos que Carlos Barrabes me ha enviado un mensaje.
También el famoso twittboy.
Si nos fijamos arriba a la derecha hay un pequeño triangulito que nos advierte "no se puede confirmar que este mensaje sea de..." pero no avisa en todos.
Por otro lado, esa inapreciable advertencia no la vemos en los smartphones.
Por más que revise el mensaje no hay advertencia alguna.
Creo que es una vulnerabilidad importante ya que (pese a ser delito) lo sencillo que es crear un formulario o falsificar el remitente de correo y lo que se puede llegar a hacer con esto es inimaginable.
Actualización:
En ocasiones en la web nos muestra una pequeña alerta de que no se puede comprobar el remitente (cosa que no sucede en smartphones o tablets) y me he dado cuenta de que si el remitente tiene una cuante de correo del tipo Gmail, Hotmail o similares aparece esa alerta; en cambio, si el remitente es de un dominio propio el engaño es 100% efectivo, no muestra alerta en ningún lado.
No hay comentarios:
Publicar un comentario