Una vulnerabilidad en Facebook Messenger permitía a un atacante leer tus conversaciones privadas

Share this…

La firma de seguridad Cynet descubrió un fallo de seguridad en Facebook Messenger que permite a un hacker leer todos los mensajes privados de los usuarios, así como tener acceso a las fotos y otros adjuntos que los se envían a través del servicio. Lo único que un atacante necesita hacer para engañar a una víctima, es lograr que visite un sitio web malicioso.

Una vez que la persona hace click en el enlace carnada, ya sea desde la web de Facebook en el escritorio o desde la aplicación móvil, todas sus conversaciones serían accesibles al atacante, ya que el fallo afectaba tanto al sitio web como a las apps. El hack llamado “Originull” fue descubierto y reportado a Facebook por uno de los investigadores y la empresa ya ha arreglado el componente defectuoso.

Este tipo de vulnerabilidad permite que un atacante use un sitio web externo para acceder a los mensajes privados. Normalmente, el navegador protege a los usuarios de Messenger permitiendo que solo las páginas de Facebook tengan acceso a esa información. Sin embargo, Facebook abre algo así como un “puente” de forma que otro subdominios de Facebook.com puedan acceder a la información de Messenger. Este fallo afecta la forma en la que Facebook gestiona la identidad de esos subdominios haciendo posible que un sitio web malicioso tenga acceso a los chats.

Fb Image1

Las conversaciones secretas de Facebook Messenger que tienen cifrado de extremo a extremo, no se vieron afectados por este fallo, ya que solo pueden ser iniciadas desde la aplicación móvil. Un buen detalle a tener en cuenta a la hora de compartir información sensible a través de este tipo de apps, siempre usar la alternativa más segura.

Facebook Messenger tiene más de mil millones de usuarios activos al mes, un fallo de esta naturaleza sin duda afecta a una cantidad abismal de usuarios. No sabemos cuanto tiempo permaneció el fallo sin ser arreglado. La buena noticia es que Facebook actuó rápido, y de hecho la vulnerabilidad fue reportada a la empresa a través de su programa “Bug Bounty” que ofrece recompensas a quienes descubran fallos en los productos del gigante de las redes sociales.

Fuente:https://www.genbeta.com/