Vulnerabilidad en Facebook desde Android

por:

Vulnerabilidad en Facebook desde Android

Regresamos tras un tiempo bastante liados en el ámbito de la investigación en Tecnologías de Hardware y Software Libre para casos de niños con enfermedades especiales, de lo que tendréis información detallada en futuros posts.

Pero hoy nos centramos de nuevo en materia de Seguridad y Hacking que para eso es nuestro hobbie favorito. Y resulta que lo hacemos con un pequeño agujero de seguridad (seguro que alguno lo tratará de descuido menor, o detalle sin importancia) que, de afectar a una aplicación minoritaria no pasaría de ser una anécdota, pero dado que hablamos de Facebook desde Android, y que dicha aplicación y la red social mencionada está en uso por parte de un par de miles de millones de usuarios en el mundo, creemos que merece la pena destacarlo.

Facebook vulnerable desde un navegador en Android

El caso es que encontramos que podemos realizar un pequeño testeo de seguridad a Facebook desde un terminal Android y descubrir un agujero importante. La app de Facebook para Android es bastante segura, al menos a priori, de no ser porque una combinación de técnicas (como siempre en estos casos) pone al descubierto las contraseñas de acceso del usuario en dicha red social, y lo mejor de todo, es que ni siquiera hay que pasar por la aplicación.

El proceso que hemos realizado para encontrar esta vulnerabilidad se basa en un terminal Samsung S8, y el navegador que el propio teléfono móvil trae de casa (una capita sencilla sobre motor Chrome, como casi siempre en estos casos).

El tiempo de manipulación del teléfono móvil (ajeno en el caso de una situación real de hackeo) no supera los 35 segundos en total. Veamos el proceso, y la vulnerabilidad:

  • Tomamos el terminal de la víctima y no abrimos ni activamos la aplicación de Facebook.
  • Abrimos el navegador y sin acceder ni buscar página web concreta, nos vamos a configuración y borramos el historial y las cookies.
  • Cerramos y volvemos a abrir el navegador del terminal que ahora está “limpio” de navegaciones previas.
  • Accedemos a una web cualquiera (pero recomendamos un periódico o noticia concreta porque suelen incluir botones para compartir en redes sociales, fácilmente localizables bajo el titular).
  • Hacemos click en “compartir” en Facebook.

Y aquí viene el agujero:

Como previamente hemos borrado el historial y las coockies, el navegador abre una nueva ventana o pestaña para compartir el enlace de la noticia por Facebook. Para ello, el navegador solicita los permisos correspondientes a la aplicación de Facebook que hay instalada en el terminal, pero no reconoce sesión previa abierta en el navegador, por lo que antes de poder compartir la noticia que hemos usado como enlace, el navegador nos presenta la página general de acceso del usuario a Facebook… pero con los campos usuario y contraseña ya rellenos. La contraseña se presenta oculta por asteriscos o puntos.

El agujero se presenta en el detalle de que el icono mostrar contraseña se muestra activable al lado de la misma, de modo que con sólo presionarlo, el intruso puede conocer la contraseña de Facebook del usuario legítimo que se muestra traducida y legible.

Si en ese momento se toma nota de la contraseña de usuario vulnerado, se limpia historial y cookies y se cierra el navegador, no quedan rastros de la intrusión. Especialmente irrastreable porque la aplicación de Facebook en el terminal móvil no se ha tenido que activar en ningún momento.

Facebook vulnerable mediante el botón de mostrar contraseña

Detalles de la vulnerabilidad

Terminal empleado: Samsung S8.

Navegador: Residente de fábrica. Samsung. Versión 5.4.21.54

Tiempo completo de ejecución de la vulnerabilidad: 32 segundos para el proceso completo.

Grado de penetración: Completo.

Margen de rastreo: Imperceptible.

Número de comprobaciones y repeticiones con historial y cookies eliminadas: 3

Vulnerabilidad no comprobada en otros navegadores ajenos al instalado por Samsung en su terminal.

 

Esperamos sinceramente que esta vulnerabilidad sea corregida cuanto antes en posteriores actualizaciones de este navegador, así como escribimos este post para informar y ayudar a que el mayor número de personas posible se proteja frente a errores de software que afectan a su privacidad y seguridad online.

Desde aquí, desanimamos encarecidamente el uso de esta u otras técnicas de hacking ajenas a la investigación, el aprendizaje y la seguridad. Cada cual es responsable de lo que decide hacer con los conocimientos que posee.

Hasta pronto.

Alquimista

 

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.