La mayoría de la gente odia escribir mensajes largos, pero gracias a la función de grabación proporcionada por WhatsApp y Facebook Messenger, hace que sea mucho más fácil para los usuarios enviar mensajes más largos que por lo general evitan el esfuerzo de escribir una gran cantidad de palabras.
Si usted tiene el hábito de enviar audio, en lugar de escribir mensajes largos, a sus amigos a través de Facebook Messenger, sepa que son susceptibles de un simple ataque man-in-the-middle (MITM) que podrían filtrarse sus clips de audio privadas a los atacantes.
Lo que es más preocupante es que el problema sigue sin parcheado por el gigante de las redes sociales.
El investigador de seguridad egipcio Mohamed A. Baset dijo a The Hacker News acerca de un fallo en la función de grabación de audio de Facebook Messenger que podría presuntamente permitir a cualquier atacante poder agarrar sus archivos de audio desde el servidor de Facebook y escuchar sus mensajes de voz personales.
Vamos a entender cómo funciona este nuevo ataque.
Aquí está cómo los atacantes pueden escuchar sus clips de audio personales:
Cada vez que grabe un clip de audio (mensaje de vídeo) para enviarlo a su amigo, el clip se sube al servidor CDN de Facebook (es decir, https: //z-1-cdn.fbsbx.com / …), desde donde sirve el mismo archivo de audio, a través de HTTPS, tanto para el remitente como para el receptor.
Ahora, cualquier atacante sentado en su red, ejecutando un ataque MITM con SSL Strip, puede realmente extraer enlaces absolutos (incluido el token de autenticación secreta incrustado en la URL) a todos los archivos de audio intercambiados entre el emisor y el receptor durante ese proceso.
Entonces, el atacante rebaja los enlaces absolutos de HTTPS a HTTP, permitiendo al atacante descargar directamente esos archivos de audio sin ninguna autenticación. Eso es.
Tal vez se pregunte que cómo los hackers son capaces de descargar los archivos de audio tan fácilmente.
¿Qué salió mal?
Esto se debe a que el servidor de Facebook CDN no impone la política HTTP Strict Transport Security (HSTS) que obliga a los navegadores o aplicaciones de usuario para comunicarse con los servidores sólo a través de las conexiones HTTPS, que ayuda a sitios web para proteger contra ataques de protocolo de versiones anteriores.
En segundo lugar, la falta de autenticación – Si un archivo ha sido compartido entre dos usuarios de Facebook esto no debería ser accesible por nadie excepto ellos, incluso si alguien tiene la URL absoluta a su archivo, que también incluye un elemento secreto para tener acceso a ese archivo.
A modo de ejemplo, Mohamed envió un clip de audio a uno de sus amigos a través de Facebook Messenger y aquí está el enlace absoluta al archivo de audio extraído por medio del ataque MITM, que cualquiera puede descargar desde el servidor de Facebook, incluso, con ningún tipo de autenticación.
«Peticiones GET son algo que los navegadores pueden recordar en su caché y también en su historial, mejor tener este archivo reproducido a través de peticiones POST con un token anti-CSRF implementado», dijo Mohamed El Hacker News.
Aún sin parches
Mohamed comunicó el problema a Facebook, y la compañía reconoció que no lo han parcheado todavía. Facebook no ofrece ningún tipo de recompensa de errores al investigador, como los ataques de versiones anteriores no están bajo su programa de recompensas de errores.
Esto es lo que el equipo de seguridad de Facebook dijo a Mohamed:
«Estamos en el proceso de desplegar HSTS a través de varios subdominios de facebook.com. El hecho de que no lo hemos implementado en subdominios particulares no constituye un informe válido bajo nuestro programa».
«En general, el envío de informes que afirman que deberíamos estar utilizando mecanismos de defensa en profundidad como HSTS no se clasificarán en nuestro programa. Tomamos decisiones muy deliberadas sobre cuándo implementaremos (o no) protecciones particulares y, por lo tanto, Hacer cambios allí por lo general no califican».