Privacidad de Facebook comprometida por ataques de encubrimiento

Las estadísticas son asombrosas. Facebook tiene unos 750 millones de usuarios, la mitad de los cuales inician sesión todos los días. El usuario medio tiene 130 amigos y pasa unos 60 minutos al día jugando en la red.



No es ningún secreto que Facebook ha tenido una buena cantidad de controversias sobre la privacidad y, en consecuencia, la red se ha visto obligada a cambiar su configuración de privacidad muchas veces en sus siete breves años de existencia.

Esa controversia continuará. Hoy, Shah Mahmood e Yvo Desmedt del University College London dicen que han encontrado una laguna en la configuración de privacidad de Facebook que permite el acoso continuo de los usuarios de Facebook de una manera que es difícil de detectar y casi imposible de detener.



La falla surge porque Facebook permite a los usuarios desactivar y reactivar sus cuentas de forma ilimitada y sin restricciones. Mientras una cuenta está desactivada, la configuración de privacidad asociada con esa cuenta no se puede cambiar.



Por lo tanto, si se hace amigo de alguien para que pueda ver su contenido y luego desactiva su cuenta, no puede cambiar la configuración de privacidad asociada con esa cuenta hasta que se reactive (a menos que aplique un cambio global a todos sus amigos).

El ataque de Mahmood y Desmedt implica pedirle a la gente que se haga amigo de ellos y luego desactivar su cuenta. Luego, se reactivan durante breves períodos de tiempo, comprueban el contenido de sus amigos y vuelven a desactivar inmediatamente la cuenta.

El concepto aquí es muy similar al de camuflaje en Star Trek, donde Badass Blink o Jem’Hadar tienen que desenmascararse (ser visibles), aunque solo sea por un momento, para abrir fuego, dicen.



La única forma de detener esto es estar en línea al mismo tiempo que el fisgón se reactiva y cambiar la configuración de privacidad en ese momento o cambiar la configuración de privacidad de todos tus amigos o del grupo de amigos en el que se encuentra el atacante.

Mahmood y Desmedt probaron este tipo de ataque de encubrimiento durante un período de 600 días utilizando una cuenta de Facebook configurada con un seudónimo. Durante los primeros 285 días, enviaron 595 solicitudes de amistad, de las cuales 370 fueron aceptadas. También recibieron 3969 solicitudes de amistad que aceptaron, lo que les dio un total de más de 4000 amigos.

Luego entraron en modo de encubrimiento desactivando su cuenta y controlando a sus amigos con regularidad reactivándose solo durante períodos de 10 minutos, que es lo suficientemente largo para rastrear cientos de perfiles y realizar un seguimiento de cualquier actividad. Ninguno de nuestros amigos técnicamente podría habernos eliminado de su amistad durante esta fase, dicen.



Finalmente, reactivaron la cuenta y la dejaron inactiva durante 60 días para ver cuántas personas los habían eliminado. En ese tiempo, 239 personas dejaron de ser amigos, poco más del 5 por ciento del total.

Hay varias razones para pensar que este es un tipo de ataque potencialmente grave. Los ataques encubiertos son difíciles de detectar y aún más difíciles de detener. Es más, un atacante decidido puede monitorear no solo a las personas, sino también los vínculos entre ellas, obteniendo información valiosa sobre la relación entre las víctimas. Facebook agregó recientemente la función 'buscar amistad' que revela información como la fecha en que se hicieron amigos de Facebook, los eventos a los que ambos asistieron, sus amigos mutuos, etc.

Una vez que el atacante es amigo de la víctima, es muy probable que tenga acceso indefinido a la información privada de la víctima de forma encubierta, dicen Mahmood y Desmedt. ,



Habiendo dicho todo eso, Mahmood y Desmedt dicen que el problema debería ser relativamente fácil de solucionar. Facebook podría, por ejemplo, avisarle cuando un amigo se ha desactivado y realizar un seguimiento de las personas que se desactivan y se vuelven a activar de forma regular. La compañía también podría hacer posible cambiar la configuración de privacidad asociada con amigos desactivados.

La única pregunta es qué tan rápido reaccionará Facebook a esta amenaza y, al hacerlo, se sumará al creciente catálogo de cambios que se ha visto obligado a realizar en sus funciones de privacidad.

Ref: arxiv.org/abs/1203.4043 : Tu amigo desactivado de Facebook o un espía encubierto

Actualización: 23 de marzo de 2012

Facebook envía la siguiente declaración a través de una agencia de relaciones públicas:

A principios de esta semana, un equipo de investigadores de seguridad describió una falla teórica en nuestra interfaz de usuario; anteriormente, los usuarios no podían dejar de ser amigos de las cuentas desactivadas. Trabajamos rápidamente para resolver este problema y pudimos implementar una modificación en nuestra interfaz de usuario dentro de las 48 horas posteriores a la recepción de estos informes.

Si bien apreciamos todo el trabajo realizado para ayudar a mantener la seguridad de Facebook, tenemos varias inquietudes legítimas sobre esta investigación del University College London. Nos decepcionó que esto no se nos haya revelado a través de nuestra Política de divulgación responsable y que se haya realizado en violación de nuestros términos. Alentamos a toda la comunidad de seguridad a hacer uso de nuestro programa White Hat, que proporciona herramientas de investigación y canales de notificación de errores. Además, como siempre, animamos a las personas a que solo se conecten con personas que realmente conozcan y denuncien cualquier comportamiento sospechoso que observen en el sitio.

esconder