Facebook hack : culpa de los navegadores web por un ataque XSS

Antes de comentar nada, desde Hispabyte hemos intentado esperar que se esclareciera el asunto para evitar que fuera un HOAX. Ahora sale una explicación oficial con bastante sentido.

Facebook ha explicado que la ola de ‘spam’ de imágenes porno que comenzó esta semana en la red social se debe a una vulnerabilidad en navegadores, por la que “es posible ejecutar código malicioso en su barra de direcciones del navegador y compartir así, sin saberlo, el contenido ofensivo”. Por el momento, aseguran que no conocen qué navegador es vulnerable en este momento.

Este ‘ataque’ causó que muchos usuarios de Facebook vieran invadidos sus muros con imágenes pornográficas y especialmente violentas sin su consentimiento, lo que provocó diversas reacciones de indignación.

Esta vulnerabilidad, llamada ‘cross-site scripting’ ( http://en.wikipedia.org/wiki/Cross-site_scripting ), permite a los atacantes ejecutar un código javascript en el navegador con el que se puede acceder y controlar el sitio web con el que el usuario está interactuando.

Facebook afirma que los propios usuarios eran tentados a copiar y pegar el código javascript malicioso en la barra de navegador web. Según explican en el blog de seguridad de la compañía Shopos, Naked Security, lo que lleva a los usuarios a pegar ese código javascript en la barra de su navegador es el engaño de participar o bien en un concurso, un sorteo o la posibilidad de ganar un premio (engaños típicos para distribuir ‘spam’). Para poder acceder a estos “premios” instan al usuario a pegar el código en su navegador.

“Nuestros ingenieros han estado trabajando diligentemente en esta vulnerabilidad ‘self-XSS’ en navegadores”, asegura la compañía en una nota. “Hemos creado mecanismos de control para desactivar rápidamente las páginas maliciosas y las cuentas que tratan de explotarlo”.

Teniendo en cuenta que el fallo no está dentro del sitio web de Facebook, parece haber sido bastante difícil para ellos detectar esta amenaza. En realidad, son los desarrolladores de los navegadores web quienes tienen que proporcionar una solución a esta vulnerabilidad.

FUENTE : http://www.elmundo.es/elmundo/2011/11/16/navegante/1321434545.html?a=f09d974013a5485825366a60655822fb&t=1321436241&numero=

Post to Twitter

This entry was posted in Internet, Redes sociales, Seguridad, Webmaster and tagged , , , , , , , . Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>