Facebook dispone de varias funciones añadidas de seguridad que mejoran la seguridad de las cuentas de los usuarios frente a ataques. Una de estas medidas de seguridad es un token de acceso temporal que se utiliza en aplicaciones como Candy Crush Saga que, una vez que el usuario acepta la aplicación, funciona como una “cuenta temporal” de manera que la aplicación no tiene acceso a los credenciales originales del usuario de forma directa.

Dependiendo del tipo de aplicación de que se trate, los tokens de acceso a la API pueden tener unos permisos u otros, por ejemplo, los token de acceso de las aplicaciones fiables de Facebook pueden hasta escribir mensajes en el tablón. Estos token son bastante sensibles ante los ataques ya que cualquiera que tenga acceso a ellos puede utilizar esta “cuenta temporal” para acceder a la cuenta de Facebook de la víctima y llevar a cabo cualquier acción en nombre del usuario mientras dicho token sea válido.

El intercambio de estos tokens entre los usuarios y las aplicaciones no está cifrado, por lo que cualquier usuario que lleve a cabo un ataque man-in-the-middle a la red podría tener fácilmente acceso a estos datos y suplantar sin mucha dificultad la identidad de la víctima.

http://www.redeszone.net/wp-content/uploads/2014/03/hacking-facebook-account-toke-mitm-655x350.jpg

La única forma de protegerse de estos ataques es que los desarrolladores de las aplicaciones de Facebook implementen y utilicen conexiones HTTPS cifradas en todos sus procesos de autenticación e intercambio de datos privados desde sus servidores. Mientras esto no ocurra, esta vulnerabilidad estará presente y permitirá suplantar fácilmente identidades de Facebook a través de un token de acceso temporal de una aplicación.

Según Facebook, obligar a las aplicaciones a utilizar el protocolo HTTPS no es práctico actualmente, por lo que la decisión final de utilizarlo o no recaerá en los desarrolladores.

¿Qué te parece esta vulnerabilidad? ¿Qué crees que puede hacer Facebook para evitar que esto ocurra?

Fuente: The Hacker News

http://www.redeszone.net/2014/03/12/el-token-de-acceso-de-facebook-es-vulnerable-ataques-mitm/

jajajajajaa nooooo me encanta! se amalgama lo técnico con lo "apocalíptico" y con un touch de color muy ameno y gracioso. cada vez que leo una nota, siento la necesidad de tener una buena taza de café (o una copita de buen vino dependiendo la hora jejejejeee) mientras escribo 

e.e

No se metan con los "periodistas".. con todo el paro y recortes que hay.. seguramente les metieron por enchufe y no tienen ni conocimiento ni medios para adquirirlo.. solo hay que darles una palmadita y despedirlos amablemente.... luego que porque hay bullying  xD

PD: Obviamente va dirigido al autor del articulo.. no a wolfbcn ·_·

Saludos

Es como si tu que eres chico la quieres meter y te la acaban metiendo, total, un desliz técnico xDDDD

ps hace tiempo hice una aplicación para facebook de un proyecto de la escuela y recuerdo que era casi obligatorio alojar tu aplicación en servidores con SSL, ya que no todos los usuarios podían ver la App...