Facebook, que constantemente se enfrenta a diferentes problemas, no se deshace del problema. Esta vez, surgió un problema de spam, compartiendo enlaces sin el consentimiento de los usuarios.
Un experto en seguridad de Facebook que sufría de spam descubrió el método del perpetrador y envió un informe a través del ‘programa de recompensas por errores’ de la compañía. El problema que planteó aún existe porque Facebook se negó alegando que no cambiaría el estado de su cuenta.
El método de prueba de concepto muestra que un desarrollador puede publicar enlaces en Facebook a su propia discreción.
Cuando el experto en seguridad notó el problema del spam, comenzó a analizarlo. Muchos de sus amigos compartieron un enlace a un sitio diferente con una foto extraña. Después de hacer clic en el enlace, pedía a los usuarios que confirmaran que tenían más de 16 años antes de acceder al contenido.
“El investigador de seguridad dice en su publicación de blog.
Una etiqueta iFrame en la página de origen despierta sus sospechas y determina de qué se tratará la investigación. El experto en seguridad se da cuenta de que el iFrame contiene un enlace múltiple y una URL para compartir en la página de Facebook.
El remitente de los mensajes de spam se dirigió a usuarios en Francia y obtuvo permiso para compartir sin el consentimiento de los usuarios. Este tipo de ataques se denominan ‘clickjacking’. Cuando los usuarios hacen clic en el enlace, se crea una página de espera, aunque se dan cuenta de que esto es una trampa, la interacción real se lleva a cabo en otra capa que no es visible.
Según las afirmaciones del investigador, Facebook dijo que esto no es un problema de seguridad porque no cambia la precisión de las cuentas de los usuarios (cambiar la configuración del usuario, etc.).
Permitir que tales publicaciones se compartan en la línea de tiempo de los usuarios es un problema grave, estos enlaces compartidos sin el permiso del usuario pueden ser software malicioso, no mensajes de spam.
Fuente: https://www.bleepingcomputer.com/news/security/the-clickjacking-bug-that-facebook-wont-fix/
