Todo el contenido de este blog está registrado en el R.P.I. por Safe Creative

jueves, 17 de noviembre de 2011

Facebook culpa del 'spam' pornográfico a un agujero en los navegadores

ELMUNDO.es | Portaltic | Madrid
Facebook ha explicado que la ola de 'spam' de imágenes porno que comenzó esta semana en la red social se debe a una vulnerabilidad en navegadores, por la que "es posible ejecutar código malicioso en su barra de direcciones del navegador y compartir así, sin saberlo, el contenido ofensivo". Por el momento, aseguran que no conocen qué navegador es vulnerable en este momento.
Este 'ataque' causó que muchos usuarios de Facebook vieran invadidos sus muros con imágenes pornográficas y especialmente violentas sin su consentimiento, lo que provocó diversas reacciones de indignación.
Esta vulnerabilidad, llamada 'cross-site scripting', permite a los atacantes ejecutar un código JavaScript en el navegador con el que se puede acceder y controlar el sitio web con el que el usuario está interactuando.
Facebook afirma que los propios usuarios eran tentados a copiar y pegar el código JavaScript malicioso en la barra de navegador web. Según explican en el blog de seguridad de la compañía Shopos, Naked Security, lo que lleva a los usuarios a pegar ese código JavaScript en la barra de su navegador es el engaño de participar o bien en un concurso, un sorteo o la posibilidad de ganar un premio (engaños típicos para distribuir 'spam'). Para poder acceder a estos "premios" instan al usuario a pegar el código en su navegador.
"Nuestros ingenieros han estado trabajando diligentemente en esta vulnerabilidad 'self-XSS' en navegadores", asegura la compañía en una nota. "Hemos creado mecanismos de control para desactivar rápidamente las páginas maliciosas y las cuentas que tratan de explotarlo".
Asimismo, Facebook está facilitando información a los afectados para que sepan cómo protegerse a sí mismos. Asegura además que su intención es reducir esos ataques y seguir trabajando para mejorar las defensas mediante nuevas maneras de proteger a los usuarios.
Teniendo en cuenta que el fallo no está dentro del sitio web de Facebook, parece haber sido bastante difícil para ellos detectar esta amenaza. En realidad, son los desarrolladores de los navegadores web quienes tienen que proporcionar una solución a esta vulnerabilidad.
Enlace articulo original: http://www.elmundo.es/elmundo/2011/11/16/navegante/1321434545.html

No hay comentarios: