Vulnerabilidad en Facebook permite secuestrar cuentas con solo abrir un enlace

El investigador bajo el seudónimo de "Samm0uda" informó el pasado 26 de enero a Facebook del hallazgo de un vulnerabilidad que permitía a un atacante secuestrar la cuenta de un usuario con solo logar que hizo clic en un enlace.

Se trata de una vulnerabilidad conocida como Cross Site Request Forgery (CSRF), que se convertiría en falsificación de petición en sitios cruzados. Este tipo de vulnerabilidad lo que hace es obligar al navegador de una víctima a realizar acciones no deseadas en una aplicación web en la que no está autenticado. En este caso, el investigador descubrió la falla después de identificar un punto final defectuoso que podría explotarse para evadir la protección contra los ataques CSRF y tomar el control de la cuenta de la víctima.

Según ha explicado el investigador a través de su blog, “para que este ataque sea efectivo lo que necesita el atacante es engañar a la víctima para que haga clic en un enlace”. A modo ejemplo, entre las posibles acciones que este fallo hubiera permitido a un atacante están: posibilidad de realizar una publicación en el timeline de la víctima, eliminar la foto de perfil o engañar al usuario para que elimine su cuenta por completo; aunque para esto último o tomar completo control de la cuenta es necesario es puertos adicionales.

Aunque en principio esto habría requerido que la víctima hiciera clic en dos enlaces diferentes, para agregar la dirección de correo electrónico o el número de teléfono en uno y confirmarlo en el otro, el investigador demostró que era posible tomar el control de la cuenta con solo one URL al identificar los endpoints en los que el parámetro “siguiente” está presente y autorizando una app maliciosa en nombre de la victima para esta manera obtener los tokens de acceso a Facebook de la victima.

Con acceso a los tokens de autenticación de la víctima, el exploit agrega automáticamente una dirección de correo electrónico controlada por el atacante a su cuenta, lo que le permite a este último tomar el control total simplemente restableciendo la contraseña y bloqueando al usuario legítimo, explicó TheHackerNews.

Según explica el investigador en su blog, el ataque se lleva a cabo en un abrir y cerrar de ojos y es peligroso porque no se dirige a un usuario en particular, sino a cualquiera que haga clic en el primer enlace.

Por último, pero no menos importante, el secuestro de una cuenta a través de un ataque similar a este podría evitarse si el usuario tiene activo el factor de autenticación doble, a menos que el atacante tenga acceso al código que se envía a su teléfono como parte del proceso de autenticación.

"Samm0uda" informó de la caída el pasado 26 de enero y Facebook la corrigió el 31. Días después y como parte de su programa de recompensas, la empresa otorgó 25.000 dólares al investigador por denunciar la caída.