Últimamente varios investigadores han descubierto nuevas vulnerabilidades o mal llamados errores en el entorno de la red social Facebook. Hay una particularidad en esta serie de vulnerabilidades o errores y es que la empresa fundada y lidereada por Marck Zuckerberg considera y afirma que son funcionalidades importantes dentro de su entorno y por lo tanto, no pueden eliminarse.

El pasado18 de julio pasado un investigador español descubrió una vulnerabilidad que permite realizar una redirección abierta desde la plataforma móvil de la red social. El problema consiste en que llevando a cabo un procedimiento sencillo, es posible engañar al usuario para que piense que está ingresando a Facebook cuando, en realidad lo que sucede es que puede estar ingresando a otro sitio. Los ciberdelincuentes podrían utilizar este método para cometer fraudes y estafas en Internet.

Facebook admitió que este es un comportamiento anómalo pero dijo “que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo”.

Como consecuencia de este primer descubrimiento, otro investigador, un chileno publicó la forma en que es posible obtener en forma automatizada (realizando miles de consultas en forma simultánea y sin control) si un usuario se encuentra registrado en la red social, simplemente conociendo su correo electrónico o número telefónico.

Y como siempre, nuevamente, la empresa de Marck Zuckerberg expresó que “esta habilidad para localizar amigos a través del correo es parte del núcleo de Facebook y si bien puede ser una vulnerabilidad en un sitio financiero, aquí corresponde a una funcionalidad de la red”.

Paradójicamente, en forma coincidente con estos hallazgos y en forma similar a lo que hace Google desde 2010 a quienes descubran vulnerabilidades criticas en su plataforma que paga por las mismas un sistema de recompensas, ahora Facebook lanzó el programa “Bug Bounty” que tiene como objetivo pagar 500 dólares a quienes descubran vulnerabilidades críticas en su plataforma. Cristian F. Borghello, consultor externo de seguridad para la empresa argentina ZMA, destacó a iProfesional.com lo siguiente: “Sobra decir que ninguno de los dos descubrimientos anteriores fue recompensado, porque ni siquiera han sido reconocidos como fallos”.

A finales de julio, en países de habla hispana también comenzó a circular un mensaje que informaba que la aplicación de Facebook para todos los smartphones, comparte (aún lo hace) la agenda personal del usuario por defecto y sin informarlo: “Atención, por motivos que se desconocen, todos los smartphones comparten la información de la agenda personal de uno con la empresa Facebook, compruébenlo ustedes mismos”.

Y efectivamente, al instalar la aplicación, la empresa Facebook automáticamente almacena (no comparte, como se ha informado en forma incorrecta) la información de contacto, fotografías del perfil y calendario con el objetivo de conectar a sus usuarios en algún momento. Al respecto la compañía en su sitio web informa:

“Al activar esta característica se enviarán periódicamente copias de tus contactos del dispositivo BlackBerry a Facebook Inc. para vincularlos y conectarlos con tus amigos de Facebook. Las fotografías de perfil e información sobre ti y tus amigos de la red social también se enviarán periódicamente desde tu Facebook a tu lista de contactos y calendario de BlackBerry. Aceptas que el acceso a estos datos (p.ej. mediante aplicaciones) dejará de estar sujeto a tu configuración de privacidad y la de tus amigos de Facebook una vez que se almacenen en tu dispositivo BlackBerry”.

A través de su página de fans, Facebook ha negado los “rumores” de que esa información sea compartida públicamente y ha dicho que “la posibilidad de ver la agenda ha existido durante mucho tiempo y ha sido diseñada para mostrar una única lista de contactos en vez de tener que visitar cada perfil”.

Para el investigador argentino Borghello, “esta afirmación es cierta, ya que la información no es compartida abiertamente para todo el mundo, pero desde hace tiempo ha sido tomada del teléfono y almacenada en la plataforma de Facebook, sin comunicarlo adecuadamente al usuario”.

El especialista informático añadió que los contenidos ya compartidos “pueden eliminarse y esta ‘funcionalidad’ puede deshabilitarse, pero quien no preste atención a este hecho, al instalar la aplicación estará compartiendo abiertamente toda la información y, lo que es aún peor, también estará brindándola a la red social, sin el correspondiente permiso de sus dueños”.

Para corregir este problema se debe ingresar a su cuenta en la red social a través del smartphone y allí hay una opción que debe deshabilitarse. La dirección de acceso es en el siguiente enlace: https://www.facebook.com/friends/edit/?sk=phonebook

Para Borghello, “el motivo de considerar como vulnerabilidad, a una supuesta funcionalidad radica en el punto desde donde se observe dicho comportamiento anómalo”:

La compañia Facebook lo ve como ventajas adicionales que el usuario adquiere al utilizar dicha funcionalidad o bien desde los beneficios que obtiene la red social, sin olvidar sus motivos económicos y que su creador ha declarado que “no cree en la privacidad ni en la intimidad”.

El especialista afirmó que:“Las personas que desarrollamos nuestra actividad en seguridad lo vemos desde el punto de vista de la privacidad del usuario y cómo ella es avasallada, simplemente para obtener una ventaja discutible y que, de todos modos, se podría generar de otra manera más confiable”

Y para finalizar Borghello agrego: “Independientemente si los hallazgos mencionados deben ser considerados funcionalidades o vulnerabilidades, lo más importante a destacar es que, según la empresa, estos comportamientos, y seguramente muchos otros, obedecen al crecimiento de la red social, lo cual evidentemente está por encima de la privacidad del usuario, que es quien en última instancia termina pagando su acceso, creyendo que es gratis”,

Fuente:Segu Info News

Anuncios