Un ricercatore di sicurezza ha scoperto una vulnerabilità in Facebook per via della quale possono essere compiuti tentativi di infettare i computer degli utenti attraverso allegati con file eseguibili. In breve, è stata scoperta la possibilità di caricare su Facebook dei file eseguibili, ossia il tipo di file di solito più usato per infettare. Nello specifico, utilizzando i messaggi vi è la possibilità di allegare un file: normalmente Facebook non permette di allegare file eseguibili e il bug consiste proprio in una falla grazie alla quale, invece, si riesce a farlo.
Va notato che, tra utenti del social network, i messaggi possono essere inviati da chiunque a chiunque, pertanto l’essere amici non è necessario.
Va detto che la tecnica è un po’ troppo evidente – almeno per occhi non sconsideratamente ingenui – per avere quell’efficacia che ci si potrebbe aspettare: di solito chi intende infettare preferisce servirsi di link apparentemente innocui che procedono poi a un redirect, trasferendo il browser su altri nomi a dominio opportunamente forgiati e dietro ai quali si nascondono siti “infettanti”. Il rischio, dunque, è limitato, ma c’è.
Facebook, attraverso il suo Security Manager Ryan McGeehan, fa sapere che “questa scoperta illustra solo la possibilità di inviare un file a un altro utente Facebook. Tale file non può essere eseguito senza l’interposizione di un ulteriore livello di ingegneria sociale. Oltre a ciò, noi non ci basiamo esclusivamente sull’uguaglianza di stringhe come misura protettiva in quanto anche i file ZIP e altre estensioni possono esibire comportamenti imprevedibili quando inviati come allegati”.
“Inoltre – continua McGeehan – eseguiamo una scansione antivirus su qualunque cosa entri, come misura secondaria di sicurezza, dunque abbiamo una difesa attiva in profondità per questo tipo di vettore. Ciò ci pone a livelli di protezione molto simili ai proviider di posta elettronica, che hanno a che fare con rischi simili e questo non è che una minima parte di come proteggiamo contro il complesso di queste minacce. In fin dei conti, per un malintenzionato è molto più pratico nascondere un eseguibile in una landing page convincente nascosta dietro un servizio di accorciamento URL, una dinamica con cui abbiamo avuto a che fare per qualche tempo”, conclude.