Descubre un bug en Facebook que permitía el borrado de cualquier imagen

Descubre un bug en Facebook que permitía el borrado de cualquier imagen

Adrián Crespo

Con más de 200 millones de usuarios activos cada mes, la aparición de un fallo en la madre de las redes sociales siempre se considera una noticia importante. Un experto en seguridad iraní ha descubierto una vulnerabilidad que permitía el borrado de cualquier imagen, independientemente del usuario. El hallazgo ha sido recompensado con 10.000 dólares por parte de la red social. ¿Quieres conocer más detalles?

Lo cierto es que la aparición de fallos en Facebook se ha controlado, reduciéndose a una frecuencia mínima a lo largo de todo el año. Sin embargo, como se puede comprobar en este artículo, de vez en cuando aparece algún fallo de seguridad que incluso se puede considerar grave. Los responsables de la red social están introduciendo mejoras a nivel de funcionalidad, y esto siempre ha provocado la aparición de algún funcionamiento anómalo o de problemas de seguridad.

Este último descubrimiento podríamos considerarlo una mezcla de ambos, aunque es cierto que la información de las cuentas no se vería afectada.

Para ser más exactos, es la nueva función que permite crear galerías fotográficas y subir GIFs la que ha provocado este comportamiento anómalo de la red social Facebook, permitiendo el borrado de cualquier imagen perteneciente a un usuario totalmente aleatorio.

Demostración del fallo de seguridad en Facebook

El experto en seguridad ha realizado una demostración de cuál es el comportamiento del fallo, tal y como se puede observar en el siguiente vídeo:

A la hora de crear un «poll» de imágenes, además de identificar el elemento creado con un ID, cada una de las imágenes adjuntas a este elemento están identificadas por su ID. Esto quiere decir que el experto en seguridad podía modificar estos IDs y confeccionar el elemento con las imágenes de otros usuarios. Las imágenes se visualizaban sin ningún problema en el «poll». Pero, ¿qué sucede si procedemos con el borrado de este elemento?

La respuesta es muy sencilla: todas las imágenes contenidas desaparecen. O lo que es lo mismo: Todas aquellas imágenes de otros usuarios que se hayan adjuntado serán borradas sin ningún tipo de comprobación.

Es decir, cualquier usuario que crease un «poll» de imágenes estaba en condiciones de borrar imágenes de otros, sin necesitar ningún tipo de verificación para llevar a cabo la acción.

Las vulnerabilidades en esta red social no son noticia

O al menos para los expertos en seguridad. Muchos usuarios se alarman al conocer este tipo de fallos. Por suerte, no es tan frecuente como hace varios años. Y es que, en algunos meses, se encontraban hasta tres fallos de seguridad de cierta consideración.

Este fallo de seguridad (un comportamiento similar) también se encontró hace no mucho cuando un experto en seguridad de la India manejaba la API Graph. En esta ocasión, se permitía el borrado de las imágenes de forma directa, sin la necesidad de crear un objeto intermedio.

Al menos, el número de vulnerabilidades reportadas a lo largo de un año se ha reducido de forma considerable, aunque es cierto que, cada vez que aparece una nueva función, es sinónimo de fallo, y esto ha quedado demostrado una vez más.

Fuente > HackerRead

¡Sé el primero en comentar!