1 2 3 4 5 6

Fallo en SDK de Facebook permite acceso no autorizado a cuentas

Help Net Security 02-Jul-2014

MetaIntell ha descubierto una vulnerabilidad de seguridad importante en el SDK de Facebook (V3.15.0) tanto para iOS como para Android.

Es llamado "Social Login Session Hijacking (Secuestro de acceso de sesiones sociales)", cuando se aprovecha esta vulnerabilidad un atacante puede acceder a la cuenta de Facebook de un usuario utilizando un método de secuestro de sesión que aprovecha el token de acceso de Facebook (FAT).

Las aplicaciones iOS y Android vulnerables se basan en el SDK de Facebook y lo aprovechan para realizar la autenticación del usuario. Una vez que la aplicación ha autenticado correctamente en Facebook, un token de sesión local se almacena en el caché y se utiliza para autenticar sesiones futuras. El almacenamiento inseguro de este token de sesión es lo que pone en riesgo de secuestro de sesión a las aplicaciones que usan el SDK de Facebook para la autenticación de usuarios.

El SDK de Facebook es una de las bibliotecas integradas más populares utilizados por los desarrolladores de aplicaciones gratuitas y de pago en las plataformas iOS y Android. Específicamente, MetaIntell ha identificado que 71 del top 100 de aplicaciones de iOS gratuitas utilizan el SDK de Facebook, lo que las hace vulnerables, afectando a más de 1.2 mil millones de descargas de estas aplicaciones. De las 100 mejores aplicaciones de Android, 31 utilizan el SDK de Facebook, por lo que hacen vulnerables a las más de 100 mil millones de descargas de esas aplicaciones.

Chilik Tamir, arquitecto en jefe, investigador y desarrollador de MetaIntell, identificó y nombró este defecto tanto en el SDK de Facebook para iOS como para Android:

"Es difícil cuantificar la capacidad de penetración de este problema, ya que no todas las aplicaciones iOS y Android utilizan el SDK de Facebook", dijo Tamir. "Sin embargo, desde nuestro análisis, el SDK es ampliamente utilizado y, dado el tipo de vulnerabilidad, representa una amenaza sustancial que abre la puerta para dañar la reputación y marcas de los individuos y organizaciones."

MetaIntell descubrió la vulnerabilidad en mayo de 2014 y Tamir junto con su equipo llevaron a cabo más investigaciones para confirmar y evaluar la persistencia del problema. La vulnerabilidad, junto con los resultados de investigación, fueron dados a conocer a Facebook dentro de las dos primeras semanas después de su descubrimiento inicial.

Para mitigar el riesgo de la vulnerabilidad en este momento, MetaIntell recomienda a los usuarios de dispositivos iOS y Android dejar de utilizar el inicio de sesión de Facebook en aplicaciones de terceros.  MetaIntell brinda una guia de cómo dejar de utilizar el inicio de sesión en su sitio web(en inglés).

Fuente: Help Net Security RC

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT