skip to main | skip to sidebar
5 commenti

Falla di Facebook permetteva di rubare gli account: risolta

La raccomandazione di non considerare privata qualunque cosa immessa in un social network ha trovato una dimostrazione molto ingegnosa pochi giorni fa: è infatti emerso che Facebook aveva una falla che consentiva di leggere e vedere tutto il contenuto degli account altrui.

La falla è stata scoperta a luglio 2015 da un ricercatore di sicurezza britannico, noto con il nomignolo finite, che l’ha tenuta segreta e segnalata a Facebook, ricevendo una ricompensa di circa 7500 dollari. Ricompensa meritata, visto che scoprire e sfruttare la falla richiedeva un ingegno davvero notevole e una creatività altrettanto sviluppata.

Finite ha infatti scoperto un modo di iniettare del contenuto creato da lui all’interno delle pagine generate da Facebook e soprattutto di far credere a Facebook che si trattasse di contenuto creato da Facebook e non dal ricercatore di sicurezza: in gergo tecnico, un classico cross-site scripting.

Fin qui nulla di straordinario: quello che merita una lode particolare è il contenuto iniettato da finite, ossia un’immagine. Siccome il testo viene (giustamente) filtrato da Facebook, perché potrebbe essere interpretato come istruzioni da eseguire, mentre le immagini sono considerate innocue, finite ha creato un’immagine in formato PNG, quindi compressa, che una volta interpretata e scompattata da Facebook diventa testo e specificamente diventa uno script che Facebook interpreta come proprio e quindi esegue senza restrizioni, permettendo di prendere il controllo degli account altrui. Geniale.

I dettagli sono raccontati da finite qui. L’immagine che ha adoperato è quella mostrata qui sopra, ma non provate a usarla: Facebook ha chiuso subito la falla che veniva sfruttata tramite quest’immagine.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
E io ci provo invece!
Come al solito basta fare un semplice viaggio indietro nel tempo ed il gioco è fatto.
Sono, o no, un genio anch'io?

No, no, non voglio saperlo ma mi aspetto una bella ricompensa ^_^
Sicuramente un genio, e per fortuna onesto!! E' la prima volta che sento dire che un PNG può diventare un TESTO ... ma come funziona la cosa, di base?
Dario Zannini, prova ad aprire l'immagine con un editor di testo
Quando ho letto questo post mi è venuto in mente quest'altro: http://attivissimo.blogspot.it/2016/02/perche-facebook-e-instagram-creano.html.
I due fatti sono collegati?
Non credo di aver capito. La stragrande maggioranza dei siti che permettono upload di immagini usano una semplice whitelist sull'estensione come unica misura di sicurezza - e ovviamente si accertano che il MIME Type quando il server restituisce l'immagine sia adeguato.
Di che stiamo parlando qui?!?