Este bug habría permitido la recolección masiva de datos de usuarios de la red social
Los equipos de ciberseguridad y forense digital de Facebook han detectado otro error de seguridad en la base de código subyacente de la red social que podría haber permitido a un hacker malintencionado recopilar inadvertidamente una cantidad masiva de información sensible de los usuarios de Facebook.
Ron Masas, el investigador de seguridad que descubrió el problema, mencionó en un informe de seguridad que este nuevo error residía en el sistema de búsqueda de Facebook. “Al navegar en los resultados de búsqueda en línea de Facebook y en su HTML noté que cada resultado contenía un elemento iframe, probablemente usado para el seguimiento interno de la empresa”, dijo Masas.
El investigador dice que al ver esto, se dio cuenta de que al buscar un iframe dentro de la página de resultados de búsqueda, podía determinar si una consulta de búsqueda había dado un resultado positivo o negativo.
Usando preguntas básicas de sí y no, el experto en forense digital dice que podría inferir si a los usuarios les ha gustado una página en particular, si han tomado fotos en ciertas ubicaciones geográficas, si tienen contactos de determinada etnia o religión en su lista de amigos, si han compartido publicaciones con algún texto específico, entre muchos otros detalles altamente confidenciales.
Estas consultas de búsqueda, incluso si no expusieron detalles directamente del usuario, sí expusieron información de segunda mano que podría revelar hábitos del usuario, identidad, preferencias o círculo social. Es importante mencionar que un atacante no podría ejecutar estas consultas de búsqueda a través de la función de búsqueda de Facebook disponible en cualquier perfil.
Para eliminar esta limitante, Masas creó una página web maliciosa para atraer a los usuarios desprevenidos. Si el usuario interactúa con esta página, aunque sea de forma mínima, la página ejecuta automáticamente el código JavaScript malicioso que automatiza estas consultas de búsqueda en una nueva pestaña.
Masas menciona en su informe que un atacante podría usar una técnica conocida como ‘tab under’ para forzar la apertura de la página de búsqueda de Facebook dentro de una pestaña en segundo plano, lo que mantiene al usuario concentrado en la página maliciosa principal mientras esta permanece oculta, disfrazada como un juego en línea, una plataforma de streaming o un sitio de noticias, por ejemplo.
Dado que la técnica ‘tab under’ se usa regularmente hoy en día para promocionar anuncios intrusivos, la mayoría de los usuarios ni siquiera prestan atención a la apertura de pestaña en segundo plano, creyendo que se trata de un anuncio más.
Mientras el usuario interactúa con la página maliciosa, el script diseñado por el investigador en forense digital automatiza una serie de búsquedas de Facebook a través de la API de gráficos de Facebook, contando el número de iframes que los resultados de búsqueda obtuvieron a través de la propiedad ‘fb.frames.length’, y registrando los resultados.
Es muy probable que, mientras estuvo disponible el error, el ataque haya sido más eficiente en dispositivos móviles, donde las pestañas no son visibles en la pantalla, mostrando solamente un pequeño contador de pestañas abiertas, que a menudo los usuarios ignoran. Además, el ataque tampoco necesita abrir pestañas individuales para cada consulta de búsqueda, lo que permite al atacante volver a cargar la pestaña existente con una nueva URL de búsqueda a intervalos cortos.
Prueba de concepto de la explotación:
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
