Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios

Un investigador ha reportado recientemente un fallo de seguridad en Facebook que permitía visualizar las fotos privadas de otros usuarios.

La vulnerabilidad se descubrió en portal.facebook.com, la web de Facebook para su dispositivo ‘Portal’, que está diseñado principalmente para realizar videollamadas.

En la web de Portal disponemos de una pequeña ventana de chat para soporte, en la que podemos realizar consultas a un bot. Además de texto, es posible incluir imágenes y archivos en el chat, introduciendo esta funcionalidad la vulnerabilidad. Aunque inicialmente este fallo fue descubierto en este chat de soporte, según el investigador, el chat de Facebook también era vulnerable.

El problema se encontraba en que al subir un fichero o una foto, este recibe un identificador numérico de igual forma que ocurre con el resto de fotos subidas a Facebook. Después de realizar la subida de la foto, se realiza una nueva petición que envía un nuevo mensaje de tipo foto al chatSi se sustituye en dicho mensaje el identificador de la foto por el identificador de cualquier otra foto, al enviar el mensaje y visualizarlo veremos automáticamente la foto correspondiente al identificador modificado.

Petición de envío de mensaje con el identificador de la foto

Aunque la explotación de esta vulnerabilidad está limitada debido a que es necesario indicar el identificador de la foto que queremos ver, un atacante podría realizar un ataque de fuerza bruta para obtener fotos privadas de otros usuarios debido al uso de identificadores numéricos. Facebook ya ha corregido el fallo, por lo que ya no es posible explotarlo. Más información:

Fuente:

https://medium.com/bugbountywriteup/disclose-private-attachments-in-facebook-messenger-infrastructure-15-000-ae13602aa486