Como invadir o Facebook em 60 segundos

O Facebook revelou uma falha que pode ser usada por hackers para tomar conta de perfis de qualquer usuário da rede por meio de mensagens SMS em menos de 60 segundos. A empresa também premiou o autor da descoberta com US$ 20 mil.

Jack Whitton, desenvolvedor britânico conhecido na rede como Fin1te, apresentou a vulnerabilidade à equipe do Facebook no dia 23 de maio. Apenas cinco dias depois, o Facebook reconheceu o problema em seu relatório de erros e afirmou a ele que o problema havia sido resolvido.

Na última quarta-feira, 29 de junho, o programa do Facebook que recompensa pesquisadores responsáveis por trazer à tona esse tipo de falha discretamente à empresa (antes de divulgar aos usuários e desenvolvedores) agradeceu Whitton por tornar o Facebook mais seguro.

Essa política é chamada de Facebook Bug Bounty Program.

A vulnerabilidade era relacionada ao número de telefone associado à conta do Facebook. Isso permite o recebimento de atualizações vai SMS e também significa que você pode fazer login usando o número em vez do endereço de seu e-mail, esclarece Whitton em seu blog, onde detalhou o caso.

Graças à falha na maneira como a página php do Facebook realiza as confirmações com SMS, entretanto, Whitton identificou um ataque em apenas dois passos que permitia a ele associar qualquer número de telefone com o perfil de qualquer usuário do Facebook para iniciar a redefinição de uma nova senha, dando ao desenvolvedor acesso completo à conta do usuário atingido.

O verdadeiro dono da conta, enquanto isso, não teria o menor indício de que o hacker estaria com acesso a seu perfil até que ele tentasse fazer o login sem sucesso.

O mecanismo de Whitton tira vantagem da ativação do Facebook por textos móveis.

Nos Estados Unidos, essa função acontece ao enviar uma mensagem SMS com a palavra fb para o número 32654, mas o procedimento varia de acordo com cada país. Depois de alguns instantes, o Facebook envia um SMS de volta ao destinatário com um código de oito caracteres usados para entra na página de configurações móveis no site antes que o número de telefone se torne ativo.

O ataque envolve a modificação do código usado nessas configurações antes que seja enviado de volta ao Facebook. Particularmente, ele descobriu que poderia mudar o elemento “profile_id” referente ao número público de ID de cada conta de absolutamente qualquer perfil. Depois de enviado o formulário, o Facebook iria associar o número do hacker à conta-alvo.

Depois disso, ele poderia usar a ferramenta de “resetar” a senha para pedir uma nova confirmação de código para o aparelho celular via SMS autorizado a receber as informações da conta.

Esse código, então, era enviado para a tela do Facebook e a senha da conta atacada era mudada de acordo com a escolha do autor do ataque. A esse ponto, o hacker teria ganhado controle da conta. A recompensa relacionada a esse bug foi de US$ 20 mil, claramente demonstrando a severidade do problema, afirmou Whitton.

A correção do Facebook, contudo, foi simples: O Facebook respondeu apenas com o fim da aceitação do parâmetro “profile_id” do usuário para esse procedimento, completou.

Assim como a bonificação de Whitton sugere, a descoberta de vulnerabilidades de softwares pode solucionar grandes bugs, não só do Facebook. A Microsoft revelou, no início deste mês, o valor máximo de US$ 100 mil para a descoberta de novas técnicas de explorar vulnerabilidades.

Por mais que isso seja uma quantia substancial em dinheiro, a realidade é que estamos lidando com um mercado aberto o undergroud do cibercrime de vulnerabilidades que podem render muito mais.

Aposto que esse bug vale muito mais que US$ 20 mil, mas ainda é uma boa quantia para receber em cima de falhas descobertas, afirmou um pesquisador de falhas de Dublin conhecido por Security Ninja, por meio de sua conta no Twitter, sobre história de Whitton.

Por outro lado, revelar a falha ao Facebook em vez de publicá-la em comunidade de cibercriminosos pode significar o reconhecimento público do papel de ciberativistas na responsabilidade de corrigir falhas. Isso pode render uma boa carreira para alguém como Whitton, que trabalha como engenheiro de segurança durante o dia e, à noite, mantém uma carreira independente como pesquisador de segurança da informação.

Ele ganha a vida testando aplicações web e revisando códigos para bugs.

Acompanhe também o IT Forum 365 pelo Twitter!