Las redes sociales, además de permitirnos compartir información con todos nuestros seguidores, nos permiten mantener conversaciones de chat, en teoría, privadas, con personas concretas. Facebook, la red social más utilizada en todo el mundo, cuenta con Facebook Messenger, un cliente de mensajería que nos permite mantener conversaciones de chat con nuestros seguidores.
Con la importancia de la privacidad, este cliente de mensajería cuenta, además de con los chats convencionales, con chats privados, o conversaciones secretas caracterizadas por estar cifradas de extremo a extremo con una clave única conocida solo por cada cliente y nunca por el propio servidor. Sin embargo, parece que estos chats no son tan secretos ni privados como deberían.
Recientemente, un investigador de seguridad ha dado con un fallo, muy simple además, que puede permitir a un atacante acceder a las fotos y los archivos enviados por una persona a través de Facebook Messenger, así como a los chats secretos que, en teoría, deberían haber sido eso, secretos. Para explotar esta vulnerabilidad, un atacante tan solo debe engañar a la víctima para que esta acceda a una dirección URL maliciosa. Una vez que se accede a ella, todas las conversaciones, tanto mantenidas desde el navegador como desde la app del móvil, son monitorizadas, registradas y mostradas al atacante.
Este fallo, denominado como Originull, se debe, principalmente, a que Facebook habilita una serie de «subsitios» de .facebook.com (por ejemplo, 5112.-edge-chat.facebook.com) con parámetros mal configurados para gestionar estos chats. Debido a esta mala configuración, un atacante puede suplantar la identidad de este servidor de manera que, en vez de estar estableciéndose una conexión segura y secreta, todos los datos se están registrando en el servidor de un pirata informático.
Podemos ver más información detallada sobre el fallo y ver un vídeo donde se demuestra la existencia del mismo en la página web de Cynet.
Facebook ya es consciente de este fallo de su plataforma Facebook Messenger y lo solucionará en breve
El experto de seguridad que ha dado con el fallo se lo ha reportado a Facebook y la compañía lo ha confirmado, asegurando que ya están trabajando en solucionarlo lo antes posible implementando nuevas medidas que permitan a los clientes comprobar la identidad de los subsitios de Messenger.
Este fallo de seguridad, además, ha entrado dentro del programa Bug Bounty, por lo que el investigador de seguridad será recompensado por descubrir y reportar el fallo a la compañía para que, poco a poco, siga haciéndose más segura y privada, al menos dentro de lo que cabe en una plataforma como Facebook.
¿Crees que las grandes redes sociales y plataformas de mensajería deberían evitar este tipo de fallos?