La falla de seguridad podría permitir la propagación de malware entre los usuarios, advierte Sophos.
Facebook ha solucionado un problema de seguridad que permitía a sitios web maliciosos acceder a información personal de los usuarios, sin un permiso explícito.
El error fue dado a conocer a la firma de seguridad Sophos, por los estudiantes investigadores Rui Wang y Zhou Li.
Graham Cluley, consultor en jefe de Sophos, comentó que la falla podría dejar que códigos maliciosos se propaguen entre los usuarios, tomando información personal haciendose pasar por sitios legítimos que ya cuentan con los permisos de tomar los datos del usuario.
«De acuerdo con Wang y Li, fue posible que cualquier sitio se hiciera pasar por otros que ya hubieran sido autorizados para acceder a la información del usuario, como el nombre, el género y la fecha de nacimiento«, comentó Cluley.
«Además, los investigadores encontraron una manera de publicar contenido en los muros de Facebook para visitas de los usuarios, bajo la apariencia de sitios web legítimos, una forma potencial de propagar ataques de malware y phishing».
Cluley experimentó con el error, pero no fue capaz, inicialmente, de duplicar lo que vio en el video proporcionado por Wang y Li.
Sugirió que fue debido a las rigurosas configuraciones de seguridad que había aplicado a su cuenta de Facebook, lo cual puede sugerir que el sitio de la red social ofrece una protección adecuada al error.
Eventualmente, Cluley fue capaz de reproducir las condiciones correctas de la cuenta y pudo observar cuando la página fue infectada.
«Fue, al final, exitoso, y fue capaz de extraer mi nombre y dirección de correo y de publicar un link «malicioso» al parecer, a partir del app«, dijo.
Afortunadamente, los estudiantes informaron sólo a Facebook y a Cluley (y no al mundo entero), lo que pudo propiciar que el exploit fuera usado por grupos maliciosos.
Cluley, quien es un abierto crítico de las prácticas de seguridad de Facebook, reconoció que el equipo de seguridad del sitio, «respondió con prontitud, y que deberían ser aplaudidos por arreglar la vulnerabilidad rápidamente, una vez que fueron informados al respecto».
Sin embargo, agregó que la complejidad de Facebook hace posible que amenazas similares no sean cubiertas, e instó a los usuarios a considerar siempre cómo proteger su información personal.
«Claramente, el sitio de Facebook es una pieza de software compleja, y es casi inevitable que vulnerabilidades y errores sean encontrados de vez en cuando«, explicó.
«El riesgo se agrava por el hecho de que existe demasiada información sensible sobre los usuarios almacenada en el sitio, lo que potencialmente pone a muchas personas en riesgo«.
Para mayor información al respecto, visita Zombies a través de Facebook.
Fuente: V3.co.uk