Básicamente esta vulnerabilidad consiste en lo siguiente: puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro.
La verdad es que es realmente sencillo, creo un simple formulario web con los campos (remitente, destinatario y mensaje).
Como facebook activó la cuenta de usuarios para recibir correos electrónicos usuario@facebook.com es el que uso como destinatario.
El correo electrónico (casi siempre visible en los perfiles) es el que utilizo como remitente.
Y ese es el resultado:
Expongo a continuación los pasos que he seguido para conseguirlo:
Busco en el apartado de información un correo electrónico vinculado a facebook.
Obtengo en nombre de usuario del que recibirá el mensaje (pongo mi propio ejemplo, pero he probado a enviarlo a amigos y el resultado es idéntico).
Relleno el formulario con usuario de facebook y correo del remitente.
Pasados unos minutos facebook me avisa que tengo un mensaje nuevo.
Abro el mensaje y vemos que Carlos Barrabes me ha enviado un mensaje.
También el famoso twittboy.
Si nos fijamos arriba a la derecha hay un pequeño triangulito que nos advierte "no se puede confirmar que este mensaje sea de..." pero no avisa en todos.
Por otro lado, esa inapreciable advertencia no la vemos en los smartphones.
Por más que revise el mensaje no hay advertencia alguna.
Creo que es una vulnerabilidad importante ya que (pese a ser delito) lo sencillo que es crear un formulario o falsificar el remitente de correo y lo que se puede llegar a hacer con esto es inimaginable.
Actualización:
En ocasiones en la web nos muestra una pequeña alerta de que no se puede comprobar el remitente (cosa que no sucede en smartphones o tablets) y me he dado cuenta de que si el remitente tiene una cuante de correo del tipo Gmail, Hotmail o similares aparece esa alerta; en cambio, si el remitente es de un dominio propio el engaño es 100% efectivo, no muestra alerta en ningún lado.
- - - - - - - - - - -
Ivan Garcia ha hecho público un formulario para que cualquiera pueda comprobar la vulnerabilidad por si mismo Enviar mensajes de facebook como si fueras otro usuario.
"llegar Ha hacer"
ResponderEliminarLo que no encuentres tú cacharreando, es que no existe
ResponderEliminarGracias por Comentar.
ResponderEliminarEditado Gracias Trinademanzana ;)
donde busco el formulario ... donde puedo llenar los datos ?
Eliminardonde se encuentra el formulario ?
EliminarxD!!! me podría enviar mensajes de politicos y celebridades....
ResponderEliminarA mi no me funciona ya xD
ResponderEliminarEn el paso 'Relleno el formulario con usuario de facebook y correo del remitente.' No tiene ningún sentido, cuando envías desde facebook un mensaje a otro usuario automáticamente se añade tu cuenta de facebook. Por otro lado desde hotmail/gmail pasaría lo mismo.
ResponderEliminarAl último anónimo, que va, prueba a enviarte un mensaje desde tu cuenta de correo, si está registrada en facebook te mostrará ese usuario.
ResponderEliminarAl anónimo anterior, desde que lo envías tarda entre cinco y diez minutos en reflejarse ;)
no comprendo como es que se hace ya que al intentar enviar un mensaje desde mi facebookk no me pide que ingrese un remitente con lo cual no puedo falsear al mismo. solo pide que ingrese la direccion del destinatario.
EliminarEres un crack!! Muy buen aporte
ResponderEliminarMuchas gracias Emenalo :))
ResponderEliminarSigo sin comprenderlo (soy el anónimo del email). Dónde puedes poner que el remitente del email sea otra persona?
ResponderEliminarCrear un formulario web para los profanos no es tan sencillo...
ResponderEliminarBah, eso lo hago yo todas las mañanas, me autoenvio un correo de Scarlett Johansson dándome los buenos días :P
ResponderEliminarIvan Garcia ha hecho público un formulario para que cualquiera pueda comprobar la vulnerabilidad por si mismo
ResponderEliminarEnviar mensajes de facebook como si fueras otro usuario.
Que cosa tan curiosa... menudas perrerías se pueden hacer, menos mal que soy buena persona.
ResponderEliminarLa de spam que se les avecina a los usuarios del fcbk... Ahora mismo se deben estar actualizando miles de bot's para el envío masivo de scam/spam/phising a los usuarios de esa red social...
ResponderEliminarRealmente el fallo de seguridad es grave, pero las consecuencias vía incomodidad para los usuarios serán brutales mientras no se subsane...
De momento, estoy probando pero no llega el correo. Serán esos 5 o 10 minutos que decías. La pregunta es: ¿Se puede contestar a estos mails falsos sin problemas?
ResponderEliminareso lo puedes hacer desde cualquier smtp, siempre y cuando el dominio en cuestion no utilice SPF.
ResponderEliminar"llegar a hacer" está bien dicho.
ResponderEliminarSe pone "ha" cuando se conjugan tiempos verbales... "he dicho", "he hecho"...
En fin, no soy linguista, pero hay que tener cuidado al corregir a los demás
Perdonad, veo que "llegar Ha hacer" es lo que el autor tenía puesto en un principio y que más tarde corrigió.
ResponderEliminarEsto se puede hacer igualmente con cualquier email sin mas que ejecutar la siguiente secuencia de comandos desde una consola UNIX:
ResponderEliminar$ sendmail -t
From: elemailquequieras@pepitodelospalotes.com
To: quienquieraqueseas@blablabla.com
Subject: Dame infinito dinero
Mensaje para convencer de que te den infinito dinero
(CTRL + D para enviar)
Para enviar un mensaje a facebook desde cualquier otro usuario de facebook basta con poner los emails de facebook del destinatario y del que envía.
El protocolo SMTP no fue diseñado para la seguridad, no deberíamos fiarnos tanto de el..
Bien visto.
ResponderEliminarSin duda es un fallo garrafal. Porque como bien dices, crear un formulario es asequible a cualquiera y el potencial de esta vulnerabilidad es enorme.
Plas plas a facebook.
Por cierto, una duda que me surge. El correo de facebook funciona con imap o pop3/smtp, o es una implementación interna del sistema que camuflan como cuentas de correo?
un saludo y a seguir así.
imap porque todos los usuarios estan en linea.
EliminarEsto solo se puede hacer porque hay un relay abierto. SPF solo ayuda si el destinatario comprueba el registro. Con el propio IIS de Windows te puedes montar un relay abierto en un par de minutos.
ResponderEliminar¿Y cuando el la url del usuario aparece un ID en vez de un nombre de usuario?
ResponderEliminarEn ese caso no ocurre este fallo ¿verdad?
De nada shur, para eso estamos ;)
ResponderEliminarjo... excelente.
ResponderEliminarMuy bueno. Congratulations.
ResponderEliminarMuchas gracias por el aporte.
Saludos.
Eres increible creo que por el bien de la humanidad y otros seres vivos, Mark Zuckerberg se debe poner en contacto contigo lo antes posible. ¡POR DIOSSSSS! que Mark lea este mensaje de SOS.
ResponderEliminar** El otro día cuando nos lo contabas, que sepas que te salían chispinas de los ojos "malaje".
Un abrazote utópico Irma.-
Joe, lo publico en mi perfil del "facebuque" ... no se si servirá de algo (por el caso que le haga la peña), pero que no sea por desconocimiento :) Eso si, llegará un momento que tendremos que aportar una fe de bautismo pa saber quien es cada uno :P #LOLthings
ResponderEliminarCampeón, lo probé conmigo mismo y funciona.
ResponderEliminarNo me aguanté, lo publiqué en facebook y que salten los malditos a hacer caos ajjajajajjaja
Ya me cansé de publicitar que se pasen a Google+, pero bueno, veamos si con esto evangelizo a algunos más.
Un abrazo y muy buena la noticia.
A ver, los de FB parecen tontos no advirtiendo claramente del remitente (sobre todo en la app para el móvil), pero por lo demás esto es una tontería. Es algo que existe en todos los sistemas de email.
ResponderEliminarMás grave hubiera sido si pudiéramos enviar el email falso desde el propio facebook (como se puede con algunos formularios cutres de algunas webs, que meten el "to" en un campo oculto), pues los emails serían enviados por el propio fb. No sé si me explico...
Tanto como grave vulnerabilidad... ni siquiera llega a eso, lleva pasando desde que existe el correo. Lo único "grave" es que la advertencia no sea más grande. Tampoco hay que echarse tantas flores (sin acritud).
ResponderEliminarhttp://www.rootrulerz.com/2011/07/facebook-exposed-via-e-mail-spoofing.html
ResponderEliminarNO QUIERO SER UN AGUAFIESTAS, PERO NO SE HA DESCUBIERTO NADA NUEVO DE HECHO ESTA VULNERABILIDAD EXISTE DESDE QUE EL EMAIL ES IMAIL. Y SI ERES VIVO PUEDES NAVEGAR POR LA WEB VERAS COMO YA SE EXPLICO HACE TIEMPO LO QUE TU TRATAS DE REGALAR COMO UNA NOVEDAD.
ResponderEliminarEsa vulnerabilidad no es de facebook, Al pan pan y al vino vino. Eso le pasa a cualquiera en su buzón de correo.
ResponderEliminarESTO DE DESCUBRIR LA POLVORA MOJADA PARA UN MINUTO DE GLORIA ES LO QUE TIENE
ResponderEliminar¿Te habrán copiado? :0 ¿¿??
ResponderEliminarCurioso http://www.osi.es/es/actualidad/avisos/2011/11/posibilidad-de-suplantacion-de-identidad-en-el-servicio-de-correo-de-faceb?origen=rs_facebook
Los que insisten en decir que la vulnerabilidad no es de facebook:
ResponderEliminarLa carita y el nombre de tu amigo te la muestra facebook, no un simple formulario externo.
Muy interesante y muchas gracias por el aviso, con tu permiso paso a compartirlo.
ResponderEliminarCreo que el bug ha sido corregido
ResponderEliminarPero no se puede realizar la maniobra si no se puede conocer el nombre de usuario de la persona, a quien se le quiere enviar el mensaje, como sucede en algunos casos...Verdad?????
ResponderEliminarY cómo se hace para que no te puedan suplantar? (explicación para tontos, plis)
ResponderEliminarBuenas tardes: He descubierto este fallo gracias a un artículo de Heraldo de Aragón, que menciona su blog y su hallazgo. http://www.heraldo.es/noticias/comunicacion/un_albanil_detecta_fallo_con_que_suplantar_identidades_facebook_167004_311.html
ResponderEliminarLe agradezco su trabajo y, con su permiso, me dispongo a compartir la información.
Un saludo.
El fallo no es de facebook, es el fallo de toda la vida de los emails. Que se introdujo en facebook cuando pusieron usuario@facebook.com
ResponderEliminarEl método es el mismo que enviar un correo como si fueras Presidente@whitehouse.us
Y dónde sale ese formulario??? yo no lo veo por ninguna parte. Facebook no lo proporciona
ResponderEliminarcomo se desactiva el correo gracias
ResponderEliminarTambien puedes enviar correos via telnet al servidor de correo saliente con el puerto 25, por ejemplo:
ResponderEliminarC:\>telnet smtp.cualquiersmtpsinautenticacion.com 25
El smtp te responde y luego hay que saludar:
HELO cualquier texto
MAIL FROM:cualquiercorreo@cualquierdominio.com
RCPT TO:correodeldestinatario@dominiodelsmtp.com
DATA (INTRO)
Aqui tecleamos lo que necesitemos enviar.
(INTRO)
Por ultimo quit y el servidor smtp te encola el correo para el envio y listo!, viva la seguridad!!!
QUIT
http://www.blogdelpibe.com
Salu2.
Francamente interesante.
ResponderEliminarDesde http://destapaelcontrol.blogspot.com te felicitamos
Thank you.Not safe Facebook.
ResponderEliminarsağlık Creo que el bug ha sido corregido
ResponderEliminargalatasaray Muchas gracias por el aporte.
ResponderEliminarSaludos.
sohbet Tampoco hay que echarse tantas flores (sin acritud).haber ozal pansiyon
ResponderEliminarhttp://lingerie.haberji.com mentioned it
ResponderEliminarTienes que explicarme donde y como hago el tal formulario web esa parte no la entiendo si yo mando algo de mi pc se supone que va con mis datos no entendi esa parte saludos
ResponderEliminarSimplemente... CHAPO!!
ResponderEliminaresta bien saberlo! gracias, pero viendolo de otra forma, todo esto le kita credividilad a los meensajes de usuarios amigos y no tan amigos, la fuerza social conseguida a traves de las webs redes o como se llamen, tambien pierden la credivilidad, bueno gracias y suerte
ResponderEliminarno entiendo de aquel formulario web, que alguien me explique......
ResponderEliminarNo podia dejar pasar la tentación y pedí prestado el email (yahoo) de mi novio, me dejé un mensaje en facebook y es completamente efectivo, también advertí el triangulito que me dice que no puede confirmar al remitente del mensaje, es muy interesante si queremos dejar mensajes anónimos, ya que, aunque se utilice la identidad de otra persona no siempre se usaria para hacer daño directo a su buen nombre sino como recurso para dejar un mensaje sin que rastreen nuestra identidad. Debemos tomar precausiones para que no seamos las victimas, gracias Minipunk por hacerlo público.
ResponderEliminardisculpen pero no se salio nada que talvez el truco ya no funcionaa ya intente con varios fb pero nada gracias x sus respuestas ..!!
ResponderEliminarno siii funciona ya probe nuevamente ha sido q no tenia activado el correo de fb :) thanks ..!!
ResponderEliminarpagina web falsa
ResponderEliminarsubplantacion de facebook (perfiles amistades falsos)
Correo pirateado, mediante un virus, y apoderación de los contactos.
Individuo: seudonimo Jorge Rocamora Valiente
Nombre real: Jordi Rovira de El Morell (Tarragona)
Pagina perfecta para gente con malas intenciones. Como el ANÓMIMO SIGUIENTE:
EliminarAnónimo Mar 26, 2012 08:37 AM
pagina web falsa
subplantacion de facebook (perfiles amistades falsos)
Correo pirateado, mediante un virus, y apoderación de los contactos.
Individuo: seudonimo Jorge Rocamora Valiente
Nombre real: Jordi Rovira de El Morell (Tarragona)
Responder
alguien me puede explicar con detalle como hacerlo
ResponderEliminarHoy he recibido un correo anónimo en mi cuenta facebook.
ResponderEliminarPone remitente "Mandatory-Sytem"
¿Hay algún modo de averiguar desde dónde se ha enviado ese correo?
Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.
ResponderEliminarborraron ya el.,.el form***rio talvez alguien lo tenga ,.,o me diga komo lo creo XD graxxxias.,., :)
ResponderEliminarDonde esta el formulario?
ResponderEliminarNo encuentro el formulario alguien me lo puede proporcionar para ver si funcina q alguien mando un mensag como q si fuera yo pero no se si en realidad aun exista esata función por eso lo quiero probar...
ResponderEliminarEl formulario debes construírtelo tú mismo.
EliminarDe todos modos este post es antiguo, este fallo ya lo han reparado ;)
Url
ResponderEliminarHola quisiera. Ayuda
ResponderEliminarMira mi esposo tiene face pero amino me agrego y descubri que mi sobrina lo tiene de amigo pero entro en su face y lo tiene bloqueado soli puedo mirar que son amigos pero nopuedo. Ver sus amigos su. Perfil bueno nada cimo puedo saber aquin tiene de amistade s y como ver los mensajes pienso que me oculta algo ahora el esta en mexici y quiero sadi me enga\\ para dejarlop
ResponderEliminar