Los responsables de la red social han sido alertados por un investigador de numerosos problemas que han sido encontrados en las aplicaciones que la red social tiene disponibles para el sistema operativo Android. Estos fallos de seguridad provocaban que una tercera persona pudiese llevar a cabo el robo de cuentas de Facebook.
Además de la aplicación de la red social y de Facebook Messenger para Android, Mohamed Ramadan, investigador egipcio, ha detectado otra vulnerabilidad que afecta al gestor de páginas que posee para el sistema operativo móvil. Aunque podría pensarse que se trata de la misma vulnerabilidad en las tres aplicaciones, se tratan de tres fallos distintos, pero cuyas consecuencias serían la misma, terminando ambos en el robo de la cuenta del usuario o de la página.
El problema se encuentra en los token, o lo que es lo mismo, la llave del usuario para poder acceder a su cuenta y que podría ser robado con tan solo enviar un archivo multimedia por parte del atacante.
Explicación del fallo de seguridad
Seguro que muchos de vosotros no habéis entendido todavía el sentido que tiene enviar un archivo multimedia para robar el token que permite el acceso a la cuenta de usuarios. El motivo es muy simple y está relacionado con el manejo que Android hace de las contraseñas que se utilizan en las aplicaciones.
Una vez que el usuario acepta la recepción de el archivo multimedia el token del usuario es almacenado en los mensajes de log de Android, concrétamente en logcat, permitiendo además que este token pueda ser utilizado en otras aplicaciones permitiendo el inicio de sesión sin la necesidad de que el usuario tenga que proporcionar sus datos.
Este fallo afecta a Facebook Messenger y la aplicación de la red social para el sistema operativo Android. Además, existe un vídeo demostración que indica cómo se puede realizar el robo gracias al fichero logcat.
El administrador de páginas también sufre problemas de seguridad
Como decíamos al principio, los fallos de seguridad son distintos pero el resultado sigue siendo el del robo de la cuenta. En este caso y a diferencia del anterior, no es necesario la descarga de ningún tipo de fichero multimedia para que el token se almacene en un log del sistema operativo. En este caso, la propia aplicación de gestión de páginas permite que este sea compartido con el resto de aplicaciones si lo solicitan.
Además hay que añadir que el uso de los tokens no expira y son válidos durante un tiempo ilimitado.
Fuente | The Hacker News