Defecto en Facebook SDK permite el acceso no autorizado a cuentas de Facebook


MetaIntell ha descubierto una vulnerabilidad de seguridad importante en el SDK de Facebook (V3.15.0) tanto para iOS y Android. Apodado "Secuestro de Sesiones Social Login”, se aprovecha de esta vulnerabilidad cuando se permite a un atacante acceder a la cuenta de Facebook de un usuario que utiliza un método de secuestro de sesión que aprovecha el acceso al token de Facebook (FAT).

Son vulnerables las aplicaciones en IOS y Android que se basan en el SDK de Facebook y aprovechan en Facebook para la autenticación de usuario. Una vez que la aplicación se ha autenticado correctamente en Facebook, un token de sesión local se almacena en el caché y se utiliza para autenticar sesiones futuras. El almacenamiento inseguro de este inicio de sesión es lo que coloca a las aplicaciones que usando el SDK de Facebook para la autenticación de usuarios pone en riesgo el secuestro de sesión.

El SDK de Facebook es una de las bibliotecas integradas más populares utilizadas por los desarrolladores de aplicaciones gratuitas y de pago en los plataformas iOS y Android.

Específicamente, MetaIntell ha identificado que el 71 de las 100 aplicaciones gratuitas de iOS utilizan el SDK de Facebook y son vulnerables, lo que afecta a los más de 1,2 millones de descargas de estas aplicaciones. De las 100 mejores aplicaciones en Android, 31 utilizan el SDK de Facebook, por lo que hacen vulnerables a los más de 100 mil millones de descargas de esas aplicaciones.

Chilik Tamir, arquitecto en jefe, de investigación y desarrollo para MetaIntell, ha identificado y debidamente nombrado este defecto tanto en el SDK de Facebook para iOS y el SDK de Facebook para Android.

"Es difícil cuantificar la capacidad de penetración de este problema, ya que no todos los iOS y Android utilizan el SDK de Facebook", dijo Tamir. "Sin embargo, desde nuestro análisis, el SDK es ampliamente utilizado y dado a la vulnerabilidad de tipo, representando una amenaza sustancial, ya que abre la puerta a impartir un daño sustancial a la reputación y a las marcas de los individuos y las organizaciones."


MetaIntell descubrió la vulnerabilidad en mayo del 2014 y Tamir y su equipo llevaron a cabo más investigaciones para confirmar y evaluar la omnipresencia del problema. La vulnerabilidad, junto con los resultados de investigación se informó a Facebook dentro de las dos semanas de su descubrimiento inicial.

Para mitigar el riesgo de la vulnerabilidad en el Secuestro de sesión en este momento, MetaIntell recomienda a los usuarios de iOS y a los usuarios de dispositivos Android dejen de utilizar el inicio de sesión de Facebook por aplicaciones de terceros.

Se recomienda al personal de TI alertar a sus empleados acerca de esta vulnerabilidad e informarles a dejar de utilizar el inicio de sesión de Facebook por medio de otras aplicaciones.

Fuente: net-security