Vinoth Kumar especialista de un curso de hacking ha demostrado la presencia de una vulnerabilidad de secuencias de comandos entre sitios (XSS) encontrada en el botón “Iniciar sesión con Facebook”, lo que permite que sitios web de terceros la opción de autenticar a sus usuarios mediante sus cuentas en la red social. El reporte de la recompensa fue de 20 mil dólares.
La falla surgió en la implementación errónea de la API postMessage. El método window.psotMessage() esta permite la comunicación de origen cruzado entre objetos.
¿Qué es el origen cruzado?
Se abre una página web y se cargan datos de los servidores ajenos está, la teoría dice que está estrictamente prohibido. Sin embargo, puede haber algunas excepciones.
Si los administradores de ambas web hacen un acordado de colaborar mutuamente, no hay por qué evitar el intercambio. En estos casos, el llamado cross-origin u origen cruzado (CORS), este regula la colaboración entre una página web y un tercero.
El experto considera que esta es una tecnología es poco abordada por los investigadores de seguridad, por lo que analizo esta implementación de Facebook y encontró la vulnerabilidad.
Inclusivemente Enguerran Gillier, especialista en ciberseguridad, descubrió otra vulnerabilidad XSS prácticamente idéntica en Gmail, según un reporte recientemente revelado.
Kumar comenzó examinando los plugins de terceros para Facebook, buscando posibles problemas de seguridad iframe. El investigador encontró un camino para su análisis al revisar el kit de desarrollo de software de inicio de sesión de Facebook. El experto notó que no existía alguna validación URL/esquema cuando se ejecutaba el JavaScript, generando una posibilidad de desplegar el ataque XSS.
“Si se envía una carga útil con url:’javascript:alert(document.domain)’ al iframe https://www.facebook.com/v6.0/plugins/login_button.php y el usuario hace clic en el botón Continuar con Facebook , javascript: alert (document.domain) se ejecutará en el dominio de facebook.com”, se menciona en el reporte de Kumar.
Acorde a expertos del curso de hacking, en caso de que la falla no se corrija, se creará un mecanismo para que los actores de amenazas tomen control de cuentas específicas. Todo lo que tendrían que hacer es engañar a los terceros para que estos interactúen con un enlace malicioso: “Si alguien visita un sitio web controlado por los hackers y hace clic en el botón Iniciar sesión con Facebook, se desencadenaría la vulnerabilidad XSS en el dominio facebook.com con el nombre del usuario objetivo”, se comenta en el reporte.
Actualmente Facebook confirmó el incidente, señalo que éste fue resuelto agregando expresiones regulares al dominio de facebook.com y verificando el parámetro de URL de carga útil. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el reporte fue emitido el pasado 17 de abril, mientras que la falla fue resuelta tres días después y la recompensa fue enviada al investigador el 1 de mayo. Se está a la espera que Facebook emita un reporte con detalles adicionales sobre esta vulnerabilidad.