elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Bloqueo de Facebook Messenger para Android con un ataque MITM
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Bloqueo de Facebook Messenger para Android con un ataque MITM  (Leído 1,343 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Bloqueo de Facebook Messenger para Android con un ataque MITM
« en: 10 Julio 2018, 20:51 pm »

Resumen
Facebook Messenger para Android se puede bloquear a través de la verificación de estado de la aplicación. Esto puede ser explotado por un atacante de MITM interceptando esa llamada y devolviendo una gran cantidad de datos. Esto sucede porque esta comprobación de estado no se realiza a través de SSL y la aplicación no contiene lógica para verificar si los datos devueltos son muy grandes.

El vendedor no tiene planes inmediatos para solucionar este problema.

Detalles de vulnerabilidad
Facebook Messenger para Android es una aplicación de mensajería proporcionada por Facebook. Al monitorear el tráfico de red de un dispositivo de prueba que ejecuta Android, observamos que la aplicación realiza llamadas de red para verificar el estado del servidor. Esta llamada se realizó a través de HTTP sin el uso de SSL / TLS. URL de ejemplo:

http://portal.fb.com/mobile/status.php
Tuvimos éxito al bloquear la aplicación al inyectar un paquete grande porque la aplicación no maneja datos grandes que regresan correctamente y no usa SSL para esta llamada.

También es importante tener en cuenta que esto le permitiría a alguien bloquear el uso de Messenger pero sin que los usuarios se den cuenta de que están siendo bloqueados, ya que atribuirán la falla de la aplicación a un error en lugar de a un bloqueo.

Más información:
http://seclists.org/fulldisclosure/2018/Jul/37?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29
https://wwws.nightwatchcybersecurity.com/2018/07/09/advisory-crashing-facebook-messenger-for-android-with-an-mitm-attack/

Saludos.


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Script automatizado para ataque MITM
Hacking
aqqle 3 6,173 Último mensaje 25 Abril 2013, 10:42 am
por aqqle
WhatsApp protagoniza un "ataque masivo" en Facebook para Android
Noticias
wolfbcn 0 2,057 Último mensaje 21 Febrero 2014, 22:43 pm
por wolfbcn
Ataque masivo a Android a través de Facebook
Noticias
wolfbcn 0 1,266 Último mensaje 25 Febrero 2014, 13:44 pm
por wolfbcn
[Serio] Implementar ataque MITM + SSLstrip para windows con C# y winpcap
Hacking
Kaxperday 5 6,764 Último mensaje 11 Octubre 2015, 17:57 pm
por Kaxperday
Facebook lanza Messenger Kids para Android; todo lo que debes saber
Noticias
wolfbcn 0 1,619 Último mensaje 16 Febrero 2018, 01:57 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines