La falla podría haber sido explotada para obtener imágenes aleatorias almacenadas en el dispositivo de un usuario
Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, un hacker ético recibió una recompensa de 10 mil dólares por parte de Facebook por reportar una vulnerabilidad en Facebook Messenger que permitía acceder a las imágenes de las víctimas.
Dmitry Lukyanenka, investigador especializado en las medidas de seguridad de las aplicaciones para Android, sometió Facebook Messenger a una serie de pruebas de seguridad para analizar la forma en la que este servicio administra los archivos GIF maliciosos.
Partiendo de las vulnerabilidades descubiertas en ImageMagick en 2016, el experto en seguridad en redes creó algunos archivos GIF para saber cómo eran procesados en Messenger. El experto encontró la forma de generar una denegación de servicio en Messenger, pero Facebook le otorgó la recompensa por el reporte de otro error. El experto descubrió que un GIF que él mismo había cargado mostraba una imagen extraña, cuando se suponía que no se debía mostrar imagen alguna, en el momento en el que la aplicación se iniciaba en un navegador web o laptop.
El experto en seguridad en redes trató de manipular un poco la imagen y ésta se mostró como una pantalla de TV sin señal. Después de algunas pruebas adicionales, el GIF mostró una imagen distorsionada de la imagen real. De este modo, el experto descubrió que lo que estaba mostrando eran datos de una imagen cargada anteriormente por un usuario diferente, en otras palabras, un problema de exposición aleatoria de memoria.
Aunque el experto no pudo demostrar que la vulnerabilidad podría haber sido explotada para obtener imágenes privadas de un usuario, los equipos de seguridad de Facebook consideraron que se trataba de un error crítico y le otorgaron una recompensa de 10 mil dólares. La red social corrigió la falla algunos días después.
Sin embargo, algunos usuarios consideran que esta falla pudo haber generado problemas de seguridad críticos: “la vulnerabilidad pudo haber expuesto a usuarios y a sus familiares, incluso si sólo podían filtrarse imágenes recientes y de forma aleatoria”, publicaron algunos usuarios en la plataforma de Reddit.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad