O Facebook, maior rede social do planeta, acaba de informar que efetuou uma correção referente a uma vulnerabilidade que poderia ser explorada por um agressor, permitindo que o mesmo fosse capaz de acessar e gravar, em modo silencioso, imagens de suas vítimas via webcam. Em seguida os videos gravados eram colocados nas respectivas timelines de suas vítimas, sem que houvesse necessidade de pedir permissão às mesmas.
Atraso sem justificativa
O mais curioso (para não dizer, desastroso) nessa história toda, é que aparentemente os administradores do Facebook não estavam com muita pressa em remediar a situação. Os pesquisadores de segurança Aditya Gupta e Subho Halder --- profissionais que descobriram essa vulnerabilidade --- afirmaram ter informado o problema para a companhia há quatro (04) meses. Claro que após esse prazo, a vulnerabilidade foi corrigida e ambos os pesquisadores ficaram bastantes satisfeitos com o resultado, já que a recompensa paga pelo Facebook foi significativamente maior do que eles esperavam (sim, o Facebook remunera de forma satisfatória vulnerabilidades descobertas em sua rede social).
A descoberta
Os pesquisadores descobriram que o recurso de upload de video da rede social, que é implementado usando Flash, não estava propriamente protegida contra ataques do tipo CSRF (Cross-Site Request Forgery). Eles então desenvolveram uma página web demonstrativa contendo um applet Flash embarcado que, ao visitar a página era apresentado a ferramenta de upload de video. Porém, quando clicado, a ferramenta gravava um video utilizando a webcam do visitante desse site, que posteriormente era postado em sua timeliine do Facebook sem o consentimento do mesmo usuário.
O único requisito para a eficácia dessa exploração de vulnerabilidade é que o visitante dessa página precisa estar com seu login ativo no Facebook mesmo sem estar acessando a rede social, já que a mesma permite manter o login ativo mesmo após fechar o navegador.
O video demonstrativo apresentava os pesquisadores ativamente clicando no botão de gravação, porém o ataque poderia se extender para o uso de clickjaking permitindo que o video fosse gravado sem o conhecimento do usuário. Porém, como reportado pelos dois pesquisadores via relatório em um interview com a Softpedia, o Facebook inicialmente havia atestado que a vulnerabilidade não era algo considerado particularmente séria. Foi apenas quando os pesquisadores postaram uma prova de conceito em video que a rede social reviu sua posição e reclassificou a vulnerabilidade como crítica.
A recompensa
Subho Halder anunciou a recompensa logo após o Natal. Ambos receberam as boa novas de que receberiam US$ 2.500 de recompensa (sob a forma de crédito em um cartão de débito White Hat) como parte do Programa de Caça aos Bugs do Facebook. Os dois pesquisadores ficaram surpresos com a resposta, generosa, como eles nem imaginavam. De acordo com a dupla, eles esperavam receber no máximo uns US$ 500, porque esse costuma ser o "pagamento-padrão" efetuado pelo Facebook nos casos de descobertas de vulnerabilidades corriqueiras.
Fonte: Heise Online (em Inglês)
