Tema: Agujero de seguridad en facebook

Hace unos días, hablando con un amigo, le expliqué que a mi parecer, todas las redes sociales son inseguras, que ninguna brinda la suficiente seguridad, como para que yo depositase en ella mis datos, y que por lo tanto, por eso no utilizo facebook, ni nada similar.

Mi amigo, me respondió que facebook era muy seguro, que con los millones de personas que lo usan, seguro que muchos expertos lo habían auditado, a lo que yo le contesté que no se fiase de eso, que sistemas mas grandes, como windows, tienen muchos agujeros de seguridad, y que la seguridad no depende del número de usuarios del sistema.

Al final, todo ello desembocó en una mini discusión y finalmente, en una apuesta. Apostamos a ver si yo era capaz de descubrir un agujero de seguridad en facebook, lo suficientemente peligroso, como para robar información o incluso suplantar a un usuario normal.

Pues bien, hoy, después de solo unas cuantas horas mirando facebook, ya he encontrado el primer agujero de seguridad, un XSS que a priori no parecía explotable, pero que al final, con un poco de picaresca, he conseguido explotar.

El bug consiste en un enlace especialmente preparado, que si el usuario entra, verá su facebook, sin trampa ni cartón, pero en el centro, tendrá un texto que le dice que ha habido un error, y que haga click ahí para continuar, si lo hace, podremos ejecutar código Javascript en el contexto de facebook, y con ello, robar su cookie, por ejemplo.

Es un XSS normal y corriente, pero que requiere que el usuario siga un enlace, lo cual reduce un poco el % de éxito y la peligrosidad, ya que un usuario experto, vería el truco.

El bug reside en ciertas aplicaciones de facebook, hasta donde he podido averiguar, es decir, el usuario debe tener instalado en su facebook, una aplicación, las típicas de encuestas y cosas de esas, una vez con la aplicación instalada y autorizada, este bug solo funciona en algunas aplicaciones, por lo que la forma de proceder es la siguiente:

1. Mirar que aplicaciones tiene instaladas tu amigo, y ver si alguna está afectada por el bug
2. Si no tiene ninguna, invitarle a que use alguna que sabes que está afectada por el bug, esto es muy fácil
3. Una vez el usuario tiene la aplicación afectada instalada, ya podemos proceder.

Ojo, no estamos hablando de una aplicación maligna creada por nosotros, sino de aplicaciones normales y corrientes, de las que usa la gente, las cuales algunas, son inseguras.

Una vez nuestro amigo tiene alguna aplicación vulnerable instalada, solo necesitamos que visite un enlace especialmente preparado, que le mostrará un mensaje de error, y le pedirá que haga click para continuar, ese enlace, es el XSS, que de hacer click, podría permitir robar la cookie, y enviarla a un sitio de terceros.

Yo he hecho la prueba con la aplicación “EreS BuEn PoLvO?” (lo siento, es la primera que vi vulnerable), y el enlace con el XSS, es el que sigue:

[Solo usuarios registrados pueden ver los links. ]

En este ejemplo, el enlace es totalmente inofensivo, si hacemos click en el texto “se ha producido un error…” solo veremos nuestra cookie en un pop up del navegador, pero nuestra cookie no se envía a ningún sitio.

Bastaría con modificar el alert, por un document.location para pasar la cookie a un sitio de terceros.

Como se puede ver, ninguna red social es segura, cualquiera con tiempo, paciencia e imaginación puede aprovecharse de cualquier cosa para suplantarte o robar tu identidad, cuando tu solo has hecho 2 clicks que parecían inofensivos.

Evidentemente, he notificado este agujero a facebook, por lo que en poco tiempo es probable que deje de funcionar (si es que hacen caso).

Para los escepticos: si os parece que esto es poco peligroso (robar la cuenta de alguien con 2 clicks de la victima) lo tenéis muy fácil: salid del blog y seguid con vuestras vidas, esto es un blog de seguridad informática (y frikadas), por lo que poner comentarios diciendo que un XSS no sirve para nada, solo conllevará la eliminación de los mismos.
30 Respuestas a “Agujero de seguridad en facebook”
Feed para esta Entrada Dirección de Trackback

1.
1 DZPM Abril 28, 2009 a las 1:06 pm

1) La vulnerabilidad no está “en facebook”, sino “en algún plugin de facebook”.
Es muy difícil permitir la suficiente flexibilidad a los plugins garantizando que no puedan tener bugs.

2) ¿”A” ocurrido un error? Se te ha caído una letra por el agujero ;-)

Hay muchas aplicaciones que se valen de trucos así para obtener popularidad. En estos casos es más efectivo el botón “reportar aplicación”.
Responder
2.
2 rabano Abril 28, 2009 a las 1:09 pm

Te iba a comentar lo mismo que DZ, el error es de un portlet de Facebook, que a saber como estan hecho.

De igual forma, comprometen la seguridad del sistema.
Responder
3.
3 jcarlosn Abril 28, 2009 a las 1:09 pm

Pero cuidado, DZPM, el agujero está en el sistema de plugins de facebook, no en la propia aplicación en si.

Cualquier aplicación que permita ver una lista de apps (basicamente) utilizando esa API, está afectada, por lo que…

¿De que nos sirve aquí el botón reportar aplicación?

La aplicación utiliza una API legitima, que está defectuosa, como muchas otras, de hecho puse una de ejemplo, pero echando un ojo rapidamente, hay mas afectadas.

Por lo que considero que al exisitir el error en la propia API de facebook, el error está en facebook y no en el plugin.

Es como cuando petan libpng, y petán con ello X programa que la usaba. Hay que considerar que el error es del programa? No, es de libpng.
Responder
4.
4 jcarlosn Abril 28, 2009 a las 1:12 pm

Adicionalmente, olvidando todo lo explicado, si yo puedo crear esa aplicación, meterla en facebook, y darte un enlace, ya hay XSS en facebook, es decir, la cookie que voy a recibir es la de facebook, no la de mi App. Por lo que, dejando a un lado los conceptos de arquitectura de facebook, el hecho final es que se roba la cookie de facebook, con un XSS, mediante acciones que no requieren privilegios, ni advierten al usuario de nada.
Responder
5.
5 Emili Abril 28, 2009 a las 2:10 pm

La seguridad de un sitio la marca el eslavon mas debil. En el momento que se aceptan pluguins de terceros es muy dificil hacer que todo el sistema sea seguro.

De todas formas hay que utilizar bastante ingenieria social para hacer lo que dices. Crear tu propia aplicación y conseguir que tu victima la acepte podria ser mas sencillo. En tu aplicacion puedes añadir el javascript que quieras sin necesidad de bugs.

Con un poco de suerte, las cookies de sesion estan vinculadas a la IP de cada usuario logueado. Por lo que leer las cookies serviria de poco si no utilizas la misma IP que tu victima. Lo has comprobado?

Saludos!
Responder
6.
6 blasfemia Abril 28, 2009 a las 3:29 pm

Ahorita los denuncio a Facebook por hacer cosas indebidas.
Responder
7.
7 intel Abril 28, 2009 a las 3:31 pm

eslaBon
Responder
8.
8 Marc Abril 28, 2009 a las 3:44 pm

El XSS de robar la cookie es fácilmente parcheable (no por robar la ID de sesión si no por evitar que se pueda utilizar desde otro sitio), el problema es que muchos desarrolladores no pueden dedicar las horas necesarias a revisar el sistema y incluso a veces estas redes sociales las montan desarrolladores/programadores sin ninguna idea de seguridad web.

De igual forma, estoy de acuerdo contigo con que es un fallo de facebook, ya que es su obligación (o no) la de asegurar poner las suficientes limitaciones al desarrollo de aplicaciones para evitar el XSS.

Aparte, no conozco la API de fuckbook como para afirmar nada, pero… ¿hay herramientas de validación de datos? porque un validador de variables GET para evitar el javascript: o el tag script es algo absolutamente necesario (entre otras muchas cosas).
Responder
9.
9 alexarugues Abril 28, 2009 a las 3:45 pm

Hola Emili,

En teoría, los responsables de facebook intentan velar por la seguridad de los plugins (hasta cierto punto como hemos comprobado). Si realizas una aplicación claramente maliciosa, esta va a ser sin duda bloqueada por los webmasters de esta red social en cuestión. No siempre la cookie está relacionada con la ip si bien creo que no es el caso de facebook. En todo caso si tumbamos la ip original y spoofeamos la nuestra, podríamos inducir alguna cosita más a la conexión (no se si incluso se podría realizar un cambio de contraseña), en todo caso sería algo de lo que evidentemente no obtendríamos una respuesta…Me equivoco?
Responder
*
10 alexarugues Abril 28, 2009 a las 4:00 pm

Retiro lo de la password… no se puede automatizar pq te pide la anterior… Lo que si creo factible es automatizar una pregunta y una respuesta para resetear la cuenta…
Responder
10.
11 hookdump Abril 28, 2009 a las 4:19 pm

Muy interesante el agujero descubierto! Ya mismo hare un par de pruebas, me dio curiosidad =)

Saludos!
Responder
11.
12 Carlos Abril 28, 2009 a las 4:41 pm

Alguien me puede decir qué riesgo se corre robando las cookies del documento? Qué tipos de datos van en esas cookies y como se puede utilizar para hacer daño a alguien? Por ahora no soy capaz de ver hasta donde llega el peligro.
Responder
12.
13 dmgonzam Abril 28, 2009 a las 5:03 pm

“si hacemos click”, es clic
Responder
13.
14 dhduhd Abril 28, 2009 a las 7:55 pm

y qué ganaste?
Responder
14.
15 otromas Abril 28, 2009 a las 8:29 pm

Me ha parecido muy interesante y he estado haciendo algunas pruebas. Veo que uno de los valores importantes de la cookie sería por ejemplo: XS, login_x, h_user, c_user, pero ninguno de ellos aparecen en la captura de la cookie, sólo aparecen datos que aparentemente no son útiles.

Desde el punto de vista de la inseguridad de facebook (o de aplicaciones de terceros) por este agujero, ¿qué posibilidades nos aporta informaciones como: locale=es_ES, x-referer=http://www.facebook.com/home.php, …?

Gracias por hacerme pasar una tarde entretenida ;)
Responder
15.
16 jcarlosn Abril 28, 2009 a las 8:36 pm

hola otromas,

a mi si me coge todas las cookies de facebook, fijate que cuando estás en apps.facebook.com estás logueado, se ve tu usuario arriba etc, Esto sería imposible sin todas las cookies.

Un saludo.
Responder
*
17 otromas Abril 28, 2009 a las 9:09 pm

Ummh… Si ejecuto el enlace sin estar logeado, primeramente me pide el usuario, y a continuación me muestra la aplicación con el mensaje de error. Los valores de la cookie que obtengo son los mismos que si ejecuto el enlace sobre una sesión abierta:
locale, s_vsn_facebookpoc_1, test_cookie, s_cc, s_sq, presence y x-referer, si no me dejo alguno.

¿A ti te salen XS, login_x, h_user, c_user entre otros?
Responder
16.
18 jakol ete Abril 28, 2009 a las 10:50 pm

los programas nunca fallan, solo existen malos pensadores
Responder
17.
19 John Doe Abril 28, 2009 a las 11:00 pm

Recomiendo instalar el plugin de Firefox NoScript.
Responder
18.
20 codigodeamor Abril 29, 2009 a las 12:11 am

[Solo usuarios registrados pueden ver los links. ]

visiten, reinagurado desde hace poco y actuaizandoce cada dia.
Responder
19.
21 Eduardo Abril 29, 2009 a las 6:30 am

No es por maldad, pero logicamente este tipo de pluging que buscan el click enlacan y nos presentan accesos a publicidades en usan los datos a los cuales les hemos autorizado, estan basados en la popularidad.
Nacen y mueren igual de rapidamente, no solo en facebook si no cualquier red social es por esta corta vida, que deben pensar enganches rapidos y llamativos continuamente (Que polvo eres, que personaje de ……, etc) , por eso no es raro que se queden bugs perdidos en ellos.
Yo por eso y estoy de acuerdo contigo limito mucho los datos que facilito en estas redes, porque soy consciente de sus riesgos.

Salu2.
Responder
20.
22 necart Abril 29, 2009 a las 9:33 am

Desde mi punto de vista (tecnicismos informáticos a parte), los agujeros de Windows no son comparables con los de Facebook y demás redes sociales. Porque Windows necesita tener esos agujeros para vendernos los antivirus y demás historias. Es negocio. En las redes sociales es que son unos dejados y punto.

Yo uso esas redes sociales, pero directamente no pongo ni todos mis datos ni los completamente reales (Mis amigos no necesitan saber mi nombre completo, mi dirección o mi teléfono, porque ya lo conocen). Y si me roban la cuenta, poco van a sacar de ahí. Ademas, si hay quien consigue colarse en webs bancarias, ¿qué no podrán hacer con facebook?

Un saludo, me ha parecido interesante.

Necart.
Responder
21.
23 HoLy KiLleR Abril 29, 2009 a las 9:36 am

Que Genial
muchas gracias
Responder
22.
24 PiensoLuegoPiensoLuegoExisto Abril 29, 2009 a las 4:49 pm

Clap, clap! Muy bueno! Creo que eso demuestra que no importa lo grande que se sea, siempre habrá un Talón de Aquiles en cualquier cosa.

Parece que no fueron suficientes los problemas de Google, la gente sigue creyendo ciegamente en grandes redes sólo por eso, porque son grandes ‘y todo el mundo está ahí y no puede pasar nada’…

Mis felicitaciones, me saco el sombrero!

PD: Recuérdale a tu amigo que te pague la apuesta!

Saludos
PLPLE
Responder


links originales....


[Solo usuarios registrados pueden ver los links. ]

xD yo tambien lo detesto... Muerte a facebook y esas redes sociales como Hi5, etc...

Iniciado por KSR's

xD yo tambien lo detesto... Muerte a facebook :bud: y esas redes sociales como Hi5, etc...

Jjajajajaja,:action-smiley-073: ¿que les ha hecho el pobre Facebook?.

xD

Iniciado por :: SmartGenius ::

Sip, tremendo que haya un agujero de seguridad...pero eso es como todo....nada es perfecto, yo personalmente uso Facebook... y es un desparche y una distraccion... !!

----------------------
ni que decir. y las niñas que se levantan por ahi que?
OIGAN!!! LO MEJOR!!! JEJE

Si facebook tiene problemas de seguridad, soy el primero en querer estudiar por donde darle de baja, esas comunidades no me gustan, solo basta con demostrar las altas posibilidades de ser victima de robos de identidad y de ejecutar codigos maliciosos que afecten nuestra seguridad a traves de las page de esas comunidades para que la gente vislumbre lo peligroso que es proporcionar datos en ellas y confiar siegamente como se que lo hacen muchos de los usuarios que las utilizan, asi que demosle muerte a facebook de una vez por todas, las nenas las consigo en mi ciudad, hay bastantes y no son virtuales....XD

Muyy buen XSS, BIEN LOGRADO :) digno de marcadores.