Pesquisador de segurança encontra vulnerabilidades "graves" no Facebook

Por Redação | 11 de Março de 2015 às 15h02

Um pesquisador de segurança na web de Portugal descobriu várias vulnerabilidades que vêm afetando o Facebook. David Sopas, funcionário da WebSegura.net, encontrou brechas que considera grave. De acordo com o Net Security, como a rede social ignorou seus alertas, ele decidiu então trazer essas informações para o público.

Segundo David, uma das vulnerabilidades é a possibilidade de enviar para os servidores da rede social quaisquer tipos de arquivos e extensões, por meio da ferramenta Ads/Tools/Text_Overlay.

VULNERABILIDADE FACEBOOK

"Um usuário pode fazer upload de arquivos executáveis ou simplesmente usar servidores do Facebook como repositório de arquivos. Na minha prova de conceito, carreguei um arquivo auto-executável sem restrição alguma e pude acessá-lo a qualquer momento, de qualquer lugar, contanto que estivesse logado com minha conta", explicou.

Ele também encontrou várias brechas de Reflected Filename Download (RFD), que são os arquivos escolhidos pelos navegadores na ausência de um previamente selecionado para completar o descarregamento do conteúdo. A vulnerabilidade pode, por exemplo, enganar usuários, que, enquanto pensam estar baixando material confiável de um domínio do Facebook, na verdade estão recebendo um malware.

Um das falhas de RFD, recentemente descoberta, é, na opinião de David, ainda mais perigosa do que as anteriores e "não requer qualquer tipo de autenticação, algo como um token, chave de aplicação e até mesmo uma conta no Facebook".

Todas as potenciais vítimas afetadas por este problema podem ter seus sistemas comprometidos. Ao clicar num link, ele pode automaticamente baixar um arquivo auto-executável, criado especificamente para rodar num navegador – seja Internet Explorer, Opera, browser do Android ou Chrome para o Android – e abrir uma página maliciosa.

O Facebook, por enquanto, não comenta as descobertas de David. 

Fonte: http://www.net-security.org/secworld.php?id=18069

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.