Una vulnerabilidad presente en Facebook Messenger permite a un usuario malintencionado modificar o eliminar cualquier mensaje, foto, archivo o enlace, tanto en la versión online como móvil, de un hilo de conversación, según ha desvelado Check Point este martes en el marco de su evento anual Cyber Day 2016.
Esta circunstancia tiene serias implicaciones legales, ya que hoy en día los chats pueden ser usados como pruebas en un juicio, y de esta forma podrían modificarse o eliminarse pruebas, o incluso crear pruebas falsas, como han indicado desde la compañía. Este es sólo uno de los múltiples usos que podría tener esta vulnerabilidad.
Check Point informó de esta vulnerabilidad al equipo de seguridad de Facebook a principios de mes. La compañía respondió de forma inmediata y, tras trabajar de forma conjunta, la vulnerabilidad fue atajada.
El daño potencial de esta vulnerabilidad es grande, dado el papel fundamental de Facebook en la vida diaria de millones personas de todo el mundo. Muchos usuarios confían en la red social para realizar comunicaciones personales y profesionales, lo que hace que este tipo de vulnerabilidades sea muy atractiva para los cibercriminales.
Como han explicado desde Check Point, los usuarios maliciosos pueden manipular el historial de un conversación como parte de campañas fraudulentas. Un cibercriminal puede cambiar el historial de una conversación para manifestar que ha alcanzado un acuerdo falso con la víctima o, simplemente, para cambiar sus términos.
Los 'hackers' pueden falsificar, alterar u ocultar información importante en las comunicaciones de chat de Facebook que podrían tener repercusiones legales. Estos chats pueden ser admitidos como prueba en investigaciones legales y esta vulnerabilidad abre la puerta a que un atacante pueda ocultar pruebas o incluso incriminar a una persona inocente.
La vulnerabilidad puede ser usada como un vehículo de transmisión de 'malware'. Un atacante puede sustituir un enlace legítimo por uno malicioso y persuadir fácilmente al usuario para que lo abra. El atacante puede usar este método más tarde para actualizar el enlace y que éste contenga la última dirección C&C, y mantener el plan de 'phishing' actualizado.
"Al explotar esta vulnerabilidad, los cibercriminales podrían cambiar un chat completo sin que la víctima se dé cuenta. Y lo que es peor, el 'hacker' podría implementar técnicas de automatización para aventajar las medidas de seguridad y poder alterar el chat a largo plazo", ha comentado el director de Investigación de Vulnerabilidades de Productos en Check Point, Oded Vanunu. "Aplaudimos a Facebook por haber respondido tan rápidamente y anteponer la seguridad de sus usuarios".
Si (
No(
.jpg "Ya tenemos vídeo del año: Pedro Sánchez responde a un hombre que le acusa de tener 'el culo roto' por los independentistas")
.jpg "El 'Rey del cachopo' confiesa por carta su asesinato y pide perdón, pero su abogada anuncia que recurrirán")
