miércoles, agosto 15, 2012

Aplicaciones de Facebook y Privacidad (2 de 3)

Tras leer la primera parte de este artículo, ahora que ya tenéis una pequeña idea de cómo funcionan las aplicaciones les invito a que prueben esta aplicación para Facebook y vean una muestra de los permisos que les dan a las aplicaciones.

Si el video te ha puesto los pelos de punta y os ha hecho reflexionar sobre toda la información que estas dejando de ti, entonces ni pensar en todas aquellas aplicaciones a las que les diste los permisos sin ver ni cuales eran, y mucho menos saber si eran confiables o no…

Si se fijan en la política de privacidad de ese sitio web,  en la parte de abajo hay unos escritos en ingles que dicen que es una aplicación solo para entretenimiento y que no guardaran tu información, etcétera, etcétera. Sin embargo, lo curioso de ese sito es que, si revisan el código de fuente de la aplicación Facebook, en una parte podemos observar lo siguiente:

Figura 4: El nombre de la aplicación Facebook se llama "El Colector"

No estoy afirmando que la aplicación almacene la información de las personas que la usen pero la verdad es que suena bastante sospechoso. Imagínense entonces lo que podría llegar a pasar si le dan todos los permisos a una aplicación diseñada por un malo de verdad, específicamente para robar datos de las personas a través de Facebook.

Si piensas que una vez dados los permisos, basta con quitárselos, estás un grave error. Y es que esa aplicación seguramente ya haya almacenado toda la información en un servidor y se acabó. Se fueron todos los datos a otro servidor que no tiene nada que ver con la infraestructura de Facebook o sus políticas de privacidad y seguridad. Eliminar una aplicación no significa que los datos que tomo mientras estabas usándola se borrarán de sus servidores.

De hecho, muchas de esas aplicaciones guardan los datos en servidores que tienen una dudosa seguridad, y es fácil encontrar en esos servidores fallos demasiado comunes y sencillos.  (Nota Maligna: De esto os publicaré en unos días un artículo con Silverhack sobre este tema)

Figura 5: App Facebook con SQLi, cortesía de Silverhack

Prosigo con lo que en realidad quería hablarles…

Como decía al principio, después de unas pruebas en la API de Facebook encontré algunas carencias de seguridad, especialmente debido a que Facebook gestiona todos los accesos mediante una URL que lleva todos los datos necesarios. Si le hemos dado los permisos a una aplicación y navegamos a una dirección URL que devuelva el “Access_token” obviamente no volverá a pedir los permisos. Por lo que queda almacenado en una  en esa URL tu Access_token al aire, por así decir,  y ya sabéis lo que se puede hacer con el.

Lo que puedo decir sobre esto, es que debéis fijaros en qué permisos dais a las aplicaciones y qué aplicaciones instaláis, si son o no confiables y en caso de haber instalado alguna borrarle los permisos concedidos.

Pero que pasaría si se pudiera generar un “Access_token” sin que le deis los permisos a la aplicación, que todos los permisos existentes se les den solos y que además no podáis quitar dicha aplicación. ¿Molaría verdad? No, la verdad es que no molaría, sino que mola porque tras realizar muchas pruebas pude comprobar que es posible hacer esto.

Si se configura bien un script bastaría con navegar a un sitio web malicioso para que te roben tu información personal, con solo ingresar y nada más. Para conseguir que entre en esa web, como truco de ingeniería social para robar la cuenta de quien sea  se podría usar, por ejemplo, un mensaje enviado a si mismo, que le cause curiosidad y al pinchar el enlace se terminó todo. Ya sabéis que dejar tal mensaje es pan comido, a través de la suplantación de identidad en Facebook, lo único que deberías saber su dirección de correo pero mucho mas fácil todavía.

Pero esto, será en la tercera y última parte del artículo, antes de que hagamos unas consultas previas...

Autor: Ariel Ignacio La Cono

***************************************************************************************************
- Aplicaciones de Facebook y Privacidad (1 de 3)
- Aplicaciones de Facebook y Privacidad (2 de 3)
- Aplicaciones de Facebook y Privacidad (3 de 3)
***************************************************************************************************

2 comentarios:

  1. Nunca me queda claro si me gusta o no saber estas cosas...

    ResponderEliminar
  2. tuve que buscar videos porque la mayoría del video de "take the lollypop" se veia en blanco (curioso, supongo que le faltaban cosas). Aún así me parece una app muy divertida y curiosa.

    Respecto al resto, "seguridad" y "facebook" nunca se han acabado de llevar bien. Recuerdo que en sus principios era relativamente fácil ver las fotos de cualquiera como si fueran de acceso público solo jugando con las url.

    ResponderEliminar