Actualización: Las populares aplicaciones Skype y Dropbox repararon fallos en sus sitios esta semana que permitían a un atacante obtener el control de la cuenta de Facebook del usuario. Lo que se conoce técnicamente como “vulnerabilidad directa abierta”, ambas aplicaciones fallaron en validar los sitios antes de mandar a los usuarios y sus tokens de acceso a ellos.

De acuerdo con TechCrunch,  el investigador de seguridad Nir Goldshlager descubrió la vulnerabilidad y de forma responsable informó a Dropbox y Skype quienes deben publicar la corrección al fallo. Goldshlager llamó a la vulnerabilidad el “fallo incorregible” ya que Facebook no es responsable directo de su corrección.

Cuando ocurre la ejecución, tan pronto como el atacante sabe de alguien que tiene conectada su cuenta ya sea a Dropbox o Skype, serían vulnerables.

Un atacante puede usar el explorador Graph API de Facebook para obtener su ID, unirlo a una URL de Dropbox o Skype y configurarla para redirigir a un sitio malicioso que le dará acceso al token de acceso a Facebook. De acuerdo con Goldshlager, el token de acceso puede permitir el paso al atacante a cualquier cosa que el usuario le haya permitido a la aplicación. Eso incluye obtener información personal de la cuenta comprometida de Facebook y a menudo la habilidad de colocar cosas en su muro.

“El atacante simplemente necesita colocar la redirección en el sitio del dueño de la aplicación y eso es todo. Tendrá la capacidad de obtener los tokens de acceso de cualquier usuario de Facebook de cualquier usuario que use esa aplicación en particular”, escribió ayer Goldshlager en su blog.

De acuerdo a la declaración dada por el equipo de seguridad de Facebook a Techcrunch, la vulnerabilidad, que no es un fallo de Facebook, surgió de la autenticación defectuosa de Oauth en los dominios de las aplicaciones.

“Mientras no sea un fallo de Facebook, seguiremos trabajando con nuestros proveedores de Oauth para prevenir el fallo”, dijo la compañía.

El problema con Skype, de acuerdo a un vocero de Microsoft, surgió de un problema con un sitio asociado.

“Investigamos el fallo, determinamos que es un fallo de terceros y trabajamos con la gente necesaria para ayudar a proteger a los clientes”, dijo el vocero.

Goldshlager, quién recientemente firmó su firma con base en Israel, Break Security, ha encontrado claramente un nicho desenterrando fallos de autenticación. Esto es sólo unas semanas después de que Facebook , donde Goldshlager aparece constantemente en la lista de “gratitud” de sombreros blancos de la compañía, resolvió una vulnerabilidad independiente que encontró en el inicio de autenticación de Oauth de Facebook. Esa falla, como la de esta semana, le dio pleno acceso a las cuentas de los usuarios mediante la lucha lejana con sus con sus tokens de acceso único.

Goldshlager aborda en profundidad ambos fallos de autenticación de Facebook en su blog, el cual recientemente movió a Break Security.