Hackear cuentas de Facebook: Vulnerabilidad XSS de día cero en “Iniciar sesión con Facebook”

Vinoth Kumar, especialista de un curso de hacking ha revelado la presencia de una vulnerabilidad de secuencias de comandos entre sitios (XSS) presente en el botón “Iniciar sesión con Facebook”, que brinda a los sitios web de terceros la opción de autenticar a sus usuarios mediante sus cuentas en la red social. El reporte fue recompensado con 20 mil dólares.

Al parecer, la falla surgió debido a la implementación errónea de la API postMessage. El método window.psotMessage() permite la comunicación de origen cruzado entre objetos Window (entre una página web y un iframe incrustado, por ejemplo).

El experto del curso de hacking considera que esta es una tecnología muy poco abordada por los investigadores de seguridad, por lo que decidió analizar esta implementación de Facebook. Además, Enguerran Gillier, especialista en ciberseguridad, descubrió otra vulnerabilidad XSS prácticamente idéntica en Gmail, según un reporte recientemente revelado.

Kumar comenzó examinando los plugins de terceros para Facebook, buscando posibles problemas de seguridad iframe. El investigador encontró un camino efectivo para su análisis al revisar el kit de desarrollo de software de inicio de sesión de Facebook. El experto notó que no existía una validación URL/esquema cuando se ejecutaba el JavaScript, generando una posibilidad de desplegar el ataque XSS.

“Si se envía una carga útil con url:’javascript:alert(document.domain)’ al iframe https://www.facebook.com/v6.0/plugins/login_button.php y el usuario hace clic en el botón Continuar con Facebook , javascript: alert (document.domain) se ejecutará en el dominio de facebook.com”, menciona el reporte de Kumar.

Acorde a expertos de un curso de hacking, en caso de que la falla no sea corregida, se creará un mecanismo para que los actores de amenazas tomen control de cuentas específicas. Todo lo que tendrían que hacer es engañar a los terceros para que interactúen con un enlace malicioso: “Si alguien visita un sitio web controlado por los hackers y hace clic en el botón Iniciar sesión con Facebook, se desencadenaría la vulnerabilidad XSS en el dominio facebook.com con el nombre del usuario objetivo”, menciona el reporte.

Facebook confirmó el incidente, señalando que éste fue resuelto agregando expresiones regulares al dominio de facebook.com y verificando el parámetro de URL de carga útil. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el reporte fue emitido el pasado 17 de abril, mientras que la falla fue resuelta tres días después. La recompensa fue enviada al investigador el 1 de mayo. Se espera que Facebook emita un reporte con detalles adicionales sobre esta vulnerabilidad en breve.