Irene Abezgauz investigadora de seguridad del "Quotium Seeker Research Center" identificó un fallo de seguridad en los controles de seguridad de Facebook. La vulnerabilidad permite a los atacantes ver la lista de amigos de cualquier usuario. Esto sucede por el conocido mecanismo de Facebook "personas que tal vez conozcas".
Para llevar a cabo el ataque es necesario crear un nuevo perfil y enviar una solicitud de amistad a la victima, aunque si la rechaza es irrelevante, ya que desde ese momento Facebook empieza a recomendar a otros usuarios. Con la opción de de hacer clic en "ver todos", puede ver la lista de las personas sugeridas (que son los amigos de la victima), a los que el atacante envía también la solicitud de amistad, incluso si la lista de amigos es privada y el resto de estos amigos sugeridos también es privado.
El ataque se desglosa en tres pasos que os dejo a continuación.
Paso 1. El atacante crea un usuario en Facebook. Este perfil no tiene amigos ni sugerencia de amigos nuevos.
Paso 2. Se realiza el envío de solicitud de amistad. En el ejemplo del perfil de la imagen, tiene la lista de amigos ocultos.
Llegados a este punto, Facebook sugiere "para ver lo que ella comparte con amigos, envíale una solicitud de amistad"
Paso 3. Ver la lista de amigos de la victima como sugerencia de personas que podrías conocer.
La victima no acepta la solicitud de amistad. Puede que ni siquiera haya visto aún la solicitud de amistad, sin embargo Facebook comienza a sugerir amistades de la persona atacada e incluso de las que esa persona recientemente haya enviado peticiones de amistad.
Mediante el botón "ver todos" el atacante puede ampliar la lista para ver cientos de sugerencias de los usuarios que son amigos de la victima.
Como parte de la investigación, Irene quiso comprobar las condiciones exactas por lo que esto era posible. Los amigos de la victima fueron usuarios que también tenían su listado de amistades como privadas, ademas, no hubo ningún tipo de contacto con dichos usuarios, salvo la solicitud de amistad.
Se trata de datos que no están disponibles al publico a no ser que seas amigo de la victima.
Facebook por su parte contesto a Irene diciendo "Si usted no tiene amigos en Facebook y envía una solicitud de amistad a alguien que ha elegido tener su lista de amistades oculta, es posible que vea algunas sugerencias de amigos que también son amigos de ambos. Pero no hay manera de saber si las sugerencias que aparecen representan la lista de amigos completa de alguien.
Sin embargo, la investigación sobre este tema, ha demostrado que la mayor parte de los amigos -a menudo cientos de ellos- está a disposición del atacante. En cualquier caso, poder acceder solo a la mitad (o menos) de una lista de amigos viola los controles de privacidad que el usuario ha elegido.
Como de costumbre, Facebook se lava las manos en esto, queriendo hacernos creer que la privacidad del usuario es correcta.
Ya lo decían Objetivo Birmania hace muchos años. Los amigos de mis amigos, son mis amigos.
Roberto García (@1gbDeInfo)
Noticia completa: quotium.com
*Todas las imagenes son de la misma web.
