Facebook podría haber filtrado las fotos de tu móvil

0

Tenemos a la vista un nuevo dolor de cabeza para nuestra privacidad en Facebook. Y es que la red de redes no anda últimamente muy afortunada en cuanto a sucesos. Facebook podría haber puesto en peligro las fotografías privadas de millones de usuarios.

Facebook

El problema reside en la apliación Facebook Photo Sync, una característica opcional de la red social que fué introducida allá por 2012 y que se encarga de “sincronizar” las instantáneas tomadas con nuestro móvil o tablet con la red social de forma automática.

Facebook podría haber filtrado las fotos de tu móvil

Aunque la buena noticia es que, debido a su naturaleza opcional, muchos usuarios de Facebook posiblemente ni siquiera supieran de la existencia de esta característica, por tanto es imposible que la hayan habilitado. Por otro lado, aquellos que están más conectados (sobre-conectados diríamos) con la red social Facebook, podrían haber facilitado todas sus imágenesa terceros en lugar de haberlas subido a un almacenamiento seguro y privado.

Un pequeño agujero

Como ha descubierto recientemente el investigador Laxman Muthiyah, incluso aunque nuestras imágenes no estuvieran visibles “para amigos” o “para el resto” en Facebook, existe una forma en que los hackers podrían haber accedido al contenido de las mismas.

Muthiyah encontró un fallo crítico en la forma en que Facebook administra las imágenes:

La app móvil de Facebook realiza una solicitud GET hacia HTTPS://graph.facebook.com/me/vaultimages con un token de nivel superior para leer las imágenes sincronizadas. El servidor de Facebook comprueba que la solicitud tenga el nivel de acceso requerido y sirve después las imágenes sincronizadas del usuario en cuestión.

La parte vulnerable llega porque el servidor sólo la identidad del dueño del token y no la aplicación que está realizando la solicitud. Permite, por tanto, que cualquier aplicación con los permisos user_photos realice una lectura de nuestras fotos en el móvil.

En otras palabras, solo la app oficial de  facebook debería tener acceso a nuestro álbum de fotos privado cuando se sincronice. Pero en su lugar encontramos que una app de terceros y que nada tiene que ver es capaz de leer nuestros documentos personales.

Existe una gran cantidad de apps en Facebook que tienen el permiso user_photos para leer las fotografías públicaas. Una app maliciosa que estemos utilizando sin saberlo podría filtrar nuestras imágenes en segundos.

Facebook podría haber filtrado las fotos de tu móvil

Respuesta ante el incidente

Menos mal que Muthiyah es solo un investigador de seguridad bienintencionado ¿no? Pero en caso de haberse tratado de un atacante, este podría haber capturado miles de fotografías de usuarios inocentes de facebook para luego haberles extorsionado, pidiendo dinero a cambio de no filtrarlas en la red.

Sin embargo, Muthiyah cumplió con su deber de informar rápidamente a Facebook, que respondió en un breve espacio de tiempo -solo 30 minutos- para lanzar un parche que solventara el problema. Podemos calificar la respuesta de Facebook como excelente en este caso concreto.

Conclusión

Sin embargo no debemos perder de vista el hecho principal, y es que el fallo está ahí y posiblemente llevaba existiendo desde que Facebook lanzó el servicio Photo Sync en 2012, hace más de 2 años. Es buena la respuesta de Facebook, eso es innegable, pero también deberíamos preguntarnos por qué las empresas desarrolladoras de software no se paran a veces a testear el software como es debido, en lugar de precipitarse con sus lanzamientos.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR