ATENÇÃO: encontradas novas vulnerabilidades no Facebook!

Share

Muitos usuários, inclusive os próprios usuários do Facebook, chamam o Facebook de “Facebug”. De certa forma é injusto o “apelido carinhoso” tendo em vista a imensidão de usuários conectados a rede social, onde quanto maior as conexões maior é a probabilidade de lentidões e travamentos. Porém algumas coisas, como por exemplo vulnerabilidades, não estão ligadas a número de usuários e são muito preocupantes…

Um hacker White Hat chamado Nir Goldshlager, fundador da Break Security, descobriu recentemente algumas formas de explorar vulnerabilidades na maior rede social do mundo, através de Cross Scripting no Facebook Messenger e na tela de Check-in da rede.

Segundo ele, um código XSS pode ser enviado a uma vítima pelo chat e, após a mesma clicar no link do código, ele seria executado afim de capturar a seção do navegador da vítima. Em outras palavras, o atacante teria acesso total ao perfil da vítima sem nem saber qual é o login e senha da mesma.

facebook-chat-xss

Outra vulnerabilidade muito grave é um Cross Scripting de tela de check-in, onde um atacante constrói uma página dentro do próprio Facebook contendo o código malicioso e quando a vítima acessa esta página, o XSS é executado automaticamente no navegador dela.

FacebookCheckInStoredXSS
Note o endereço da página

Notem que estamos falando de “ações dentro do navegador”, ou seja, INDEPENDENTE do seu Sistema Operacional o XSS é executado naturalmente!

Estas informações já foram enviadas ao time de segurança do Facebook e o mesmo diz já estar trabalhando para eliminar estas falhas. Porém cabe aqui o alerta de nunca clicar em nenhum link dentro de um chat, independente se a pessoa que o enviou é seu amigo ou não, e ainda tomar muito cuidado com as páginas que você entra, bem como os aplicativos que instala no seu perfil.

Fonte

Quer continuar por dentro das novidades do Blog Seja Livre? Siga o nosso perfil no TWITTER, curta a nossa página no FACEBOOK ou adicione o Blog Seja Livre nos seus círculos do GOOGLE+.