A informação foi divulgada pelo especialista Nathan Power, da empresa de pesquisa na área de segurança CDW, em seu blog. Segundo ele, a falha foi comunicada ao Facebook no dia 30/09, que teria reconhecido o problema apenas esta semana.
O Facebook normalmente não permite que os usuários enviem arquivos executáveis anexados com o uso da opção Mensagens. Se você tentar fazer isso, receberá uma resposta de “erro de upload”.
Segundo Power, uma análise da requisição de publicação feita aos servidores do Facebook mostrou que uma variável chamada “filename” pode ser modificada facilmente, permitindo que um arquivo executável (.exe) nocivo seja anexado à mensagem. "Isso foi suficiente para enganar o componente e habilitar o envio”, explica o consultor de segurança.
Com isso, não é necessário ter recebido aprovação de um usuário do Facebook para disparar mensagens. Um cracker (o hacker “do mal”) pode usar a falha para enviar arquivos nocivos para qualquer um. Quem clicar, vai contaminar a máquina e pode ter a máquina controlada remotamente ou ter senhas furtadas.
Em comunicado, o gerente de segurança da rede social, Ryan McGeehan disse que um ataque bem-sucedido iria requerer "uma esforço extra de engenharia social".
Segundo ele, o Facebook não se apoia somente na identificação de um arquivo. Ele diz que a rede faz escaneamento de arquivos, "por isso temos defesas contra esse tipo de ataque".
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário