RECONNECT aprovecha un fallo en Facebook para acceder a las cuentas de otros
En la compañía de Mark Zuckerberg lo saben desde hace ya más de un año, que existe este fallo de seguridad crítico, pero se han negado a solucionarlo porque arruinaría la compatibilidad con cientos de páginas web y servicios asociados. Ahora bien, lo que deberían saber los usuarios es que este grave problema de seguridad permite, con cierta facilidad, secuestrar cuentas asociadas a Facebook.
El problema de seguridad que nos ocupa en esta publicación tiene que ver con una vulnerabilidad de Facebook por la falta de CSRF como sistema de seguridad. Mientras que el inicio y cierre de sesión en Facebook es controlado directamente por la compañía de la red social, la conexión con servicios de terceros corre por cuenta de desarrolladores ajenos. Ahora bien, estos tres sistemas de inicio/cierre de sesión son vulnerables.
Para explotar esta vulnerabilidad, Homakov ha desarrollado una herramienta denominada RECONNECT, que permite crear URLs de inicio de sesión de servicios de terceros para secuestrar las cuentas de estos servicios. Es decir, con esta sencilla herramienta podríamos entrar, por ejemplo, en la cuenta de Spotify de alguien que conozcamos, siempre y cuando este usuario «atacado» utilice Facebook como inicio de sesión en Spotify.
¿Cómo podemos protegernos los usuarios de Facebook?
La única forma que tenemos de prevenir este tipo de ataques y secuestros de perfiles personales es, simplemente, utilizar el sentido común. Aunque quizá se nos pueda escapar revisar la URL de inicio de sesión, siempre debemos rechazar direcciones URL de autenticación que nos lleguen desde direcciones de correo electrónico sospechosas. Ahora bien, más allá del sentido común, no existe un sistema de protección real.
El problema, en realidad, lo tiene la propia compañia Facebook. Y es que, aunque conocen este agujero de seguridad desde hace más de un año, desde la red social se han negado a solucionarlo porque generaría incompatibilidades con cientos de páginas web, videojuegos y otros servicios de Internet con su sistema de inicio de sesión.