Facebook anunció la corrección de un error de codificación en sus servicios de video que permitiría a los actores de amenazas eliminar contenido sin que los usuarios pudieran intervenir. Ahmad Talahmeh, especialista en ciberseguridad, publicó un reporte sobre el error, además de revelar una prueba de concepto (PoC).
Debido a las medidas de aislamiento por la pandemia, miles de usuarios recurren en mayor medida a la función Facebook Live, que permite realizar una transmisión en vivo para diversos fines. Los propietarios de cuentas de Facebook pueden publicar transmisiones en vivo a través de páginas o grupos y, una vez que termina la transmisión en vivo, pueden publicar una versión editada del video.
El experto señala que encontró un problema en la función que permite recortar el video transmitido hasta eliminarlo por completo, algo que obviamente no debería ser posible en circunstancias convencionales: “Los videos pueden ser recortados a milisegundos, haciendo que el video dure menos de un segundo en términos reales”, señala Talahmeh.
Después de obtener la identificación de una transmisión vulnerable, es posible enviar un código que contenga una solicitud empaquetada para recortar el video. El experto notificó a Facebook en septiembre de 2020 y, apenas un par de horas después, el problema había sido corregido. Talahmeh recibió un pago de 11 mil dólares a través del programa de recompensas de Facebook.
En un reporte separado, Talahmeh descubrió otra falla de seguridad relacionada con las páginas comerciales de Facebook y sus actualizaciones sobre cualquier cambio derivado de la pandemia y las medidas de seguridad a las que los usuarios habrían de sujetarse: “El sistema Actualización de Coronavirus (COVID-19) Desde {nombre de la página objetivo}” podría actualizarse con permisos de analista, que normalmente son de solo lectura”, agregó el experto.
Se espera que Facebook publique una actualización del incidente en los próximos días. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.