Descubren un gran fallo de seguridad en Facebook

Se ha descubierto un fallo de seguridad en Facebook que podría permitir a una persona enviar a cualquier usuario de la red social aplicaciones maliciosas.

Ha sido Nathan Power, consultor de tecnologías de seguridad de CDW, quien ha descubierto la vulnerabilidad, publicando la información de la misma en su blog. A Facebook se le avisó del fallo el 30 de septiembre, aunque hasta esta semana no ha reconocido la existencia de la vulnerabilidad, asegura Power.

El investigador ha explicado que normalmente Facebook no permite a una persona enviar un ejecutable a través de un mensaje. Si se intenta, aparece un aviso de error de subida que además advierte que no se pueden adjuntar eso tipos de archivos.

El truco es la existencia de una variable que puede modificarse para que los mensajes sí que admitan los archivos ejecutables.

Además, el receptor no tiene por qué ser conocido del remitente, porque Facebook permite enviar mensajes a usuarios que no están entre los contactos. El peligro es que un hacker podría utilizar técnicas de ingeniería social para tentar a alguien a que lanzara el adjunto, que podría infectar el ordenador con malware malicioso.

En su post Nathan Power explica cómo puede cambiarse la variable para que puedan enviarse adjuntos ejecutables, por lo que el exploit está al alcance de cualquiera.

Silicon Redacción

La redacción de Silicon está compuesta por periodistas y redactores especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

¿Qué responsabilidades tiene una organización víctima de un ciberataque?

Cualquier empresa puede sufrir un ciberataque. Y las compañías tienen responsabilidades ante sus clientes, trabajadores,…

21 horas ago

El 97% de los ITDM encuestados esperan implementar más capacidades de IA, según AMD e IDC

La adopción de PCs con IA está transformando las operaciones empresariales, mejorando la eficiencia y…

2 días ago

Nuxia presenta el trabajador digital Adri Nux

Con capacidades de aprendizaje continuo y autonomía para la toma de decisiones, analiza información en…

2 días ago

Observabilidad, la clave para reducir los riesgos de la IA

Keepler Data Tech aborda en un evento de Silicon las implicaciones que no aplicar criterios…

2 días ago

CrowdStrike Falcon Cloud Security, ahora compatible con OCI

CrowdStrike y Oracle ofrecen al entorno empresarial "una única plataforma para una protección completa en…

2 días ago

Abierta una nueva convocatoria del curso sobre ciberseguridad Cyberskill para personas desempleadas

Los interesados en participar en esta iniciativa de INCIBE y Fundación Universia pueden apuntarse hasta…

2 días ago