Facebook corrigió otra vulnerabilidad que permite a los actores de amenazas recopilar información privada de usuarios de Facebook.
El investigador de Seguridad de Imperva, Ron Masas, descubrió el error en el sistema de búsqueda de Facebook mientras buscaba en los resultados de búsqueda en línea de Facebook. Notó que cada resultado contenía un elemento de iframe que se usa para el seguimiento interno de Facebook.
Al leer los iframes, descubrió que "la mayoría de los puntos finales de búsqueda, no está protegida contra la falsificación de solicitud entre sitios (CSRF), que normalmente permite a los usuarios compartir la página de resultados de búsqueda a través de una URL". Masas publicó un video que muestra que podría extraer lo siguiente información utilizando preguntas básicas de sí o no.
Masas dijo a ZDNet que podría inferir si a los usuarios les ha gustado una página en particular, si han tomado fotos en ciertas ubicaciones geográficas, si tienen amigos de cierta religión en su lista de amigos, si han compartido publicaciones con un texto específico, si un usuario tiene amigos con un nombre en particular, si tiene amigos que viven en una ciudad o país específico, y muchos otros detalles altamente confidenciales.
Para ilustrar el ataque, creó un sitio malicioso que abre o abre la página de búsqueda de Facebook, luego debe obligar al usuario a ejecutar consultas de búsqueda.
Dijo que al manipular la búsqueda gráfica de Facebook, es posible elaborar consultas de búsqueda y reflejar el comportamiento del usuario. Esto es especialmente peligroso para los usuarios móviles, ya que la pestaña abierta puede perderse fácilmente en segundo plano, lo que permite al atacante extraer los resultados para múltiples consultas, mientras el usuario está viendo un video o leyendo un artículo en el sitio del atacante.
Masas informó sobre la vulnerabilidad al programa de divulgación responsable de Facebook en mayo de 2018 y el error se resolvió ahora.
Los piratas informáticos explotaron recientemente un defecto de día cero en la función de vista de Facebook como para robar 29 millones de tokens de acceso a cuentas que contienen información como credenciales de seguridad para una sesión de inicio de sesión, identidad de usuario y el permiso.
Fecha actualización el 2021-11-14. Fecha publicación el 2018-11-14. Categoría: facebook Autor: Oscar olg Mapa del sitio Fuente: gbhackers