Vulnerabilidad en Facebook permite adjuntar ejecutables en los mensajes

Actualización: el 1 de noviembre la vulnerabilidad fue solucionada.

La siguiente vulnerabilidad fue descubierta por Nathan Power de SecurityPentest.com, yo la descubrí por medio del excelente blog de seguridad HackPlayers. A continuación comento el problema con un ejemplo clásico, una supuesta foto que en realidad es un ejecutable.

Cuando se intenta enviar un mensaje con un archivo .exe adjunto se recibe una advertencia como la siguiente:

Esto es así por razones obvias de seguridad, sin embargo una simple modificación del parámetro POST y la variable filename permiten adjuntar el ejecutable para ser enviado a cualquier usuario. Simplemente se necesita agregar un espacio en el nombre del archivo filename=»foto.exe «

Una vez realizado el cambio Facebook no puede comprobar que se trata de un ejecutable y lo adjunta. Cuando el usuario lo recibe puede descargarlo con un simple clic:

Creo que no es necesario aclarar el impacto del problema, la mayoría de los usuarios no tiene habilitadas las extensiones de Windows y para muchos es lo mismo que un archivo sea EXE, JPG, PDF o lo que sea… le hacen doble clic a todo y más cuando el mensaje parece ser enviado por un amigo.

Cable aclarar que el investigador reportó el problema a Facebook el pasado 30 de setiembre, el 26 de octubre Facebook lo reconoce y al día siguiente la información se hace pública.

Ver también:
Troyanos en el chat de Facebook que simulan ser fotos.
3 amigos pueden cambiar tu contraseña en Facebook.
Dominios acebook, facebok y faecbook .com utilizados para engañar.