sábado, 26 de noviembre de 2011

Descubierta grave vulnerabilidad en facebook

Descubierta grave vulnerabilidad en facebook

Básicamente esta vulnerabilidad consiste en lo siguiente: puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro.

La verdad es que es realmente sencillo, creo un simple formulario web con los campos (remitente, destinatario y mensaje).

Como facebook activó la cuenta de usuarios para recibir correos electrónicos usuario@facebook.com es el que uso como destinatario.

El correo electrónico (casi siempre visible en los perfiles) es el que utilizo como remitente.

Y ese es el resultado:

Vulnerabilidad en facebook

Expongo a continuación los pasos que he seguido para conseguirlo:

Busco en el apartado de información un correo electrónico vinculado a facebook.

Vulnerabilidad en facebook

Obtengo en nombre de usuario del que recibirá el mensaje (pongo mi propio ejemplo, pero he probado a enviarlo a amigos y el resultado es idéntico).

Vulnerabilidad en facebook

Relleno el formulario con usuario de facebook y correo del remitente.

Vulnerabilidad en facebook

Pasados unos minutos facebook me avisa que tengo un mensaje nuevo.

Vulnerabilidad en facebook

Abro el mensaje y vemos que Carlos Barrabes me ha enviado un mensaje.

Vulnerabilidad en facebook

También el famoso twittboy.

Vulnerabilidad en facebook

Si nos fijamos arriba a la derecha hay un pequeño triangulito que nos advierte "no se puede confirmar que este mensaje sea de..." pero no avisa en todos.

Por otro lado, esa inapreciable advertencia no la vemos en los smartphones.

Vulnerabilidad en facebook

Por más que revise el mensaje no hay advertencia alguna.

Vulnerabilidad en facebook

Creo que es una vulnerabilidad importante ya que (pese a ser delito) lo sencillo que es crear un formulario o falsificar el remitente de correo y lo que se puede llegar a hacer con esto es inimaginable.

Actualización:

En ocasiones en la web nos muestra una pequeña alerta de que no se puede comprobar el remitente (cosa que no sucede en smartphones o tablets) y me he dado cuenta de que si el remitente tiene una cuante de correo del tipo Gmail, Hotmail o similares aparece esa alerta; en cambio, si el remitente es de un dominio propio el engaño es 100% efectivo, no muestra alerta en ningún lado.

- - - - - - - - - - -

Ivan Garcia ha hecho público un formulario para que cualquiera pueda comprobar la vulnerabilidad por si mismo Enviar mensajes de facebook como si fueras otro usuario.

75 comentarios :

  1. "llegar Ha hacer"

    ResponderEliminar
  2. Lo que no encuentres tú cacharreando, es que no existe

    ResponderEliminar
  3. Gracias por Comentar.

    Editado Gracias Trinademanzana ;)

    ResponderEliminar
    Respuestas
    1. donde busco el formulario ... donde puedo llenar los datos ?

      Eliminar
    2. donde se encuentra el formulario ?

      Eliminar
  4. xD!!! me podría enviar mensajes de politicos y celebridades....

    ResponderEliminar
  5. A mi no me funciona ya xD

    ResponderEliminar
  6. En el paso 'Relleno el formulario con usuario de facebook y correo del remitente.' No tiene ningún sentido, cuando envías desde facebook un mensaje a otro usuario automáticamente se añade tu cuenta de facebook. Por otro lado desde hotmail/gmail pasaría lo mismo.

    ResponderEliminar
  7. Al último anónimo, que va, prueba a enviarte un mensaje desde tu cuenta de correo, si está registrada en facebook te mostrará ese usuario.

    Al anónimo anterior, desde que lo envías tarda entre cinco y diez minutos en reflejarse ;)

    ResponderEliminar
    Respuestas
    1. no comprendo como es que se hace ya que al intentar enviar un mensaje desde mi facebookk no me pide que ingrese un remitente con lo cual no puedo falsear al mismo. solo pide que ingrese la direccion del destinatario.

      Eliminar
  8. Eres un crack!! Muy buen aporte

    ResponderEliminar
  9. Sigo sin comprenderlo (soy el anónimo del email). Dónde puedes poner que el remitente del email sea otra persona?

    ResponderEliminar
  10. Crear un formulario web para los profanos no es tan sencillo...

    ResponderEliminar
  11. Bah, eso lo hago yo todas las mañanas, me autoenvio un correo de Scarlett Johansson dándome los buenos días :P

    ResponderEliminar
  12. Ivan Garcia ha hecho público un formulario para que cualquiera pueda comprobar la vulnerabilidad por si mismo
    Enviar mensajes de facebook como si fueras otro usuario.

    ResponderEliminar
  13. Que cosa tan curiosa... menudas perrerías se pueden hacer, menos mal que soy buena persona.

    ResponderEliminar
  14. La de spam que se les avecina a los usuarios del fcbk... Ahora mismo se deben estar actualizando miles de bot's para el envío masivo de scam/spam/phising a los usuarios de esa red social...

    Realmente el fallo de seguridad es grave, pero las consecuencias vía incomodidad para los usuarios serán brutales mientras no se subsane...

    ResponderEliminar
  15. De momento, estoy probando pero no llega el correo. Serán esos 5 o 10 minutos que decías. La pregunta es: ¿Se puede contestar a estos mails falsos sin problemas?

    ResponderEliminar
  16. eso lo puedes hacer desde cualquier smtp, siempre y cuando el dominio en cuestion no utilice SPF.

    ResponderEliminar
  17. "llegar a hacer" está bien dicho.
    Se pone "ha" cuando se conjugan tiempos verbales... "he dicho", "he hecho"...
    En fin, no soy linguista, pero hay que tener cuidado al corregir a los demás

    ResponderEliminar
  18. Perdonad, veo que "llegar Ha hacer" es lo que el autor tenía puesto en un principio y que más tarde corrigió.

    ResponderEliminar
  19. Esto se puede hacer igualmente con cualquier email sin mas que ejecutar la siguiente secuencia de comandos desde una consola UNIX:

    $ sendmail -t
    From: elemailquequieras@pepitodelospalotes.com
    To: quienquieraqueseas@blablabla.com
    Subject: Dame infinito dinero

    Mensaje para convencer de que te den infinito dinero
    (CTRL + D para enviar)

    Para enviar un mensaje a facebook desde cualquier otro usuario de facebook basta con poner los emails de facebook del destinatario y del que envía.

    El protocolo SMTP no fue diseñado para la seguridad, no deberíamos fiarnos tanto de el..

    ResponderEliminar
  20. Bien visto.

    Sin duda es un fallo garrafal. Porque como bien dices, crear un formulario es asequible a cualquiera y el potencial de esta vulnerabilidad es enorme.

    Plas plas a facebook.

    Por cierto, una duda que me surge. El correo de facebook funciona con imap o pop3/smtp, o es una implementación interna del sistema que camuflan como cuentas de correo?

    un saludo y a seguir así.

    ResponderEliminar
    Respuestas
    1. imap porque todos los usuarios estan en linea.

      Eliminar
  21. Esto solo se puede hacer porque hay un relay abierto. SPF solo ayuda si el destinatario comprueba el registro. Con el propio IIS de Windows te puedes montar un relay abierto en un par de minutos.

    ResponderEliminar
  22. ¿Y cuando el la url del usuario aparece un ID en vez de un nombre de usuario?
    En ese caso no ocurre este fallo ¿verdad?

    ResponderEliminar
  23. Muy bueno. Congratulations.

    Muchas gracias por el aporte.

    Saludos.

    ResponderEliminar
  24. Eres increible creo que por el bien de la humanidad y otros seres vivos, Mark Zuckerberg se debe poner en contacto contigo lo antes posible. ¡POR DIOSSSSS! que Mark lea este mensaje de SOS.

    ** El otro día cuando nos lo contabas, que sepas que te salían chispinas de los ojos "malaje".

    Un abrazote utópico Irma.-

    ResponderEliminar
  25. Joe, lo publico en mi perfil del "facebuque" ... no se si servirá de algo (por el caso que le haga la peña), pero que no sea por desconocimiento :) Eso si, llegará un momento que tendremos que aportar una fe de bautismo pa saber quien es cada uno :P #LOLthings

    ResponderEliminar
  26. Campeón, lo probé conmigo mismo y funciona.
    No me aguanté, lo publiqué en facebook y que salten los malditos a hacer caos ajjajajajjaja
    Ya me cansé de publicitar que se pasen a Google+, pero bueno, veamos si con esto evangelizo a algunos más.
    Un abrazo y muy buena la noticia.

    ResponderEliminar
  27. A ver, los de FB parecen tontos no advirtiendo claramente del remitente (sobre todo en la app para el móvil), pero por lo demás esto es una tontería. Es algo que existe en todos los sistemas de email.

    Más grave hubiera sido si pudiéramos enviar el email falso desde el propio facebook (como se puede con algunos formularios cutres de algunas webs, que meten el "to" en un campo oculto), pues los emails serían enviados por el propio fb. No sé si me explico...

    ResponderEliminar
  28. Tanto como grave vulnerabilidad... ni siquiera llega a eso, lleva pasando desde que existe el correo. Lo único "grave" es que la advertencia no sea más grande. Tampoco hay que echarse tantas flores (sin acritud).

    ResponderEliminar
  29. http://www.rootrulerz.com/2011/07/facebook-exposed-via-e-mail-spoofing.html

    ResponderEliminar
  30. NO QUIERO SER UN AGUAFIESTAS, PERO NO SE HA DESCUBIERTO NADA NUEVO DE HECHO ESTA VULNERABILIDAD EXISTE DESDE QUE EL EMAIL ES IMAIL. Y SI ERES VIVO PUEDES NAVEGAR POR LA WEB VERAS COMO YA SE EXPLICO HACE TIEMPO LO QUE TU TRATAS DE REGALAR COMO UNA NOVEDAD.

    ResponderEliminar
  31. Esa vulnerabilidad no es de facebook, Al pan pan y al vino vino. Eso le pasa a cualquiera en su buzón de correo.

    ResponderEliminar
  32. ESTO DE DESCUBRIR LA POLVORA MOJADA PARA UN MINUTO DE GLORIA ES LO QUE TIENE

    ResponderEliminar
  33. ¿Te habrán copiado? :0 ¿¿??
    Curioso http://www.osi.es/es/actualidad/avisos/2011/11/posibilidad-de-suplantacion-de-identidad-en-el-servicio-de-correo-de-faceb?origen=rs_facebook

    ResponderEliminar
  34. Los que insisten en decir que la vulnerabilidad no es de facebook:
    La carita y el nombre de tu amigo te la muestra facebook, no un simple formulario externo.

    ResponderEliminar
  35. Muy interesante y muchas gracias por el aviso, con tu permiso paso a compartirlo.

    ResponderEliminar
  36. Creo que el bug ha sido corregido

    ResponderEliminar
  37. Pero no se puede realizar la maniobra si no se puede conocer el nombre de usuario de la persona, a quien se le quiere enviar el mensaje, como sucede en algunos casos...Verdad?????

    ResponderEliminar
  38. Y cómo se hace para que no te puedan suplantar? (explicación para tontos, plis)

    ResponderEliminar
  39. Buenas tardes: He descubierto este fallo gracias a un artículo de Heraldo de Aragón, que menciona su blog y su hallazgo. http://www.heraldo.es/noticias/comunicacion/un_albanil_detecta_fallo_con_que_suplantar_identidades_facebook_167004_311.html

    Le agradezco su trabajo y, con su permiso, me dispongo a compartir la información.

    Un saludo.

    ResponderEliminar
  40. El fallo no es de facebook, es el fallo de toda la vida de los emails. Que se introdujo en facebook cuando pusieron usuario@facebook.com

    El método es el mismo que enviar un correo como si fueras Presidente@whitehouse.us

    ResponderEliminar
  41. Y dónde sale ese formulario??? yo no lo veo por ninguna parte. Facebook no lo proporciona

    ResponderEliminar
  42. como se desactiva el correo gracias

    ResponderEliminar
  43. Tambien puedes enviar correos via telnet al servidor de correo saliente con el puerto 25, por ejemplo:

    C:\>telnet smtp.cualquiersmtpsinautenticacion.com 25

    El smtp te responde y luego hay que saludar:

    HELO cualquier texto
    MAIL FROM:cualquiercorreo@cualquierdominio.com
    RCPT TO:correodeldestinatario@dominiodelsmtp.com
    DATA (INTRO)
    Aqui tecleamos lo que necesitemos enviar.
    (INTRO)
    Por ultimo quit y el servidor smtp te encola el correo para el envio y listo!, viva la seguridad!!!
    QUIT


    http://www.blogdelpibe.com

    Salu2.

    ResponderEliminar
  44. Francamente interesante.
    Desde http://destapaelcontrol.blogspot.com te felicitamos

    ResponderEliminar
  45. galatasaray Muchas gracias por el aporte.

    Saludos.

    ResponderEliminar
  46. sohbet Tampoco hay que echarse tantas flores (sin acritud).haber ozal pansiyon

    ResponderEliminar
  47. http://lingerie.haberji.com mentioned it

    ResponderEliminar
  48. Tienes que explicarme donde y como hago el tal formulario web esa parte no la entiendo si yo mando algo de mi pc se supone que va con mis datos no entendi esa parte saludos

    ResponderEliminar
  49. esta bien saberlo! gracias, pero viendolo de otra forma, todo esto le kita credividilad a los meensajes de usuarios amigos y no tan amigos, la fuerza social conseguida a traves de las webs redes o como se llamen, tambien pierden la credivilidad, bueno gracias y suerte

    ResponderEliminar
  50. no entiendo de aquel formulario web, que alguien me explique......

    ResponderEliminar
  51. No podia dejar pasar la tentación y pedí prestado el email (yahoo) de mi novio, me dejé un mensaje en facebook y es completamente efectivo, también advertí el triangulito que me dice que no puede confirmar al remitente del mensaje, es muy interesante si queremos dejar mensajes anónimos, ya que, aunque se utilice la identidad de otra persona no siempre se usaria para hacer daño directo a su buen nombre sino como recurso para dejar un mensaje sin que rastreen nuestra identidad. Debemos tomar precausiones para que no seamos las victimas, gracias Minipunk por hacerlo público.

    ResponderEliminar
  52. disculpen pero no se salio nada que talvez el truco ya no funcionaa ya intente con varios fb pero nada gracias x sus respuestas ..!!

    ResponderEliminar
  53. no siii funciona ya probe nuevamente ha sido q no tenia activado el correo de fb :) thanks ..!!

    ResponderEliminar
  54. pagina web falsa
    subplantacion de facebook (perfiles amistades falsos)
    Correo pirateado, mediante un virus, y apoderación de los contactos.

    Individuo: seudonimo Jorge Rocamora Valiente
    Nombre real: Jordi Rovira de El Morell (Tarragona)

    ResponderEliminar
    Respuestas
    1. Pagina perfecta para gente con malas intenciones. Como el ANÓMIMO SIGUIENTE:


      Anónimo Mar 26, 2012 08:37 AM


      pagina web falsa
      subplantacion de facebook (perfiles amistades falsos)
      Correo pirateado, mediante un virus, y apoderación de los contactos.

      Individuo: seudonimo Jorge Rocamora Valiente
      Nombre real: Jordi Rovira de El Morell (Tarragona)
      Responder

      Eliminar
  55. alguien me puede explicar con detalle como hacerlo

    ResponderEliminar
  56. Hoy he recibido un correo anónimo en mi cuenta facebook.

    Pone remitente "Mandatory-Sytem"

    ¿Hay algún modo de averiguar desde dónde se ha enviado ese correo?

    ResponderEliminar
  57. Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.

    ResponderEliminar
  58. borraron ya el.,.el form***rio talvez alguien lo tenga ,.,o me diga komo lo creo XD graxxxias.,., :)

    ResponderEliminar
  59. No encuentro el formulario alguien me lo puede proporcionar para ver si funcina q alguien mando un mensag como q si fuera yo pero no se si en realidad aun exista esata función por eso lo quiero probar...

    ResponderEliminar
    Respuestas
    1. El formulario debes construírtelo tú mismo.
      De todos modos este post es antiguo, este fallo ya lo han reparado ;)

      Eliminar
  60. Mira mi esposo tiene face pero amino me agrego y descubri que mi sobrina lo tiene de amigo pero entro en su face y lo tiene bloqueado soli puedo mirar que son amigos pero nopuedo. Ver sus amigos su. Perfil bueno nada cimo puedo saber aquin tiene de amistade s y como ver los mensajes pienso que me oculta algo ahora el esta en mexici y quiero sadi me enga\\ para dejarlop

    ResponderEliminar

Deja tu comentario.
Si sólo quieres mostrar tu nombre elige (Nombre/url) y deja en blanco el campo de url.