El Token «Modo Dios» De Facebook Podría Ser Usado Por Ciberdelincuentes
¿Usas Facebook? ¿Tienes alguna extensión instalada en el navegador? Pues, cuidado si tienes instalada la extensión de Chrome que comentamos en este post, ya que podrías sufrir exfiltración de datos debido a que otorga a un servidor de terceros acceso a datos del usuario.
El token designado por el investigador en ciberseguridad Zach Edwards como “Modo Dios”, está expuesto en texto plano en las APIs del servicio, que se suelen usar para la integración de automatismos, módulos, plugins, etc… Ya en 2018 hubo problemas con este token, ya que se eliminaron 50 millones de cuentas de facebook debido a una “exposición simbólica”.
Francois Marier, ingeniero de seguridad de Brave, publicó en Github Issues, que ha descubierto que la extensión L.O.C. de Chrome expone los datos de la red social a un posible robo. Si un usuario tiene instalada esta extensión en el navegador y ha iniciado sesión en Facebook, la aplicación otorga el acceso a algunos datos del usuario a un servidor de terceros.
Fuente: Github
Pese a las declaraciones de Loc Mai, el creador de la aplicación L.O.C., en las que sostenía que, como indica la política de privacidad de su aplicación, no recolecta información del usuario. La aplicación almacena el token de manera local. Esto último hace que un desarrollador malicioso pueda utilizarlo para obtener datos del usuario. Por ejemplo, la API Graph de Facebook necesita de este token de acceso para funcionar. Esta API es una de las herramientas principales para que las aplicaciones puedan realizar tareas de lectura y escritura en la gráfica social de Facebook según indica su documentación.
Algunos navegadores como Brave, hacen alarde de cuidar la privacidad de los usuarios que utilizan este navegador, por lo que están bloqueando la instalación de la extensión L.O.C.
Más información en:
https://github.com/brave/extension-whitelist/issues/48
https://news.dolakha.net/facebook-unveils-god-mode-can-be-used-by-crooks-register-original-news/
https://www.theregister.com/2022/02/12/facebook_god_mode/?&web_view=true
Via: unaaldia.hispasec.com