Mucho se ha hablado a lo largo de las últimas semanas de la red social por excelencia, Facebook, especialmente de temas relacionados con la seguridad y privacidad de los datos que hemos subido a la plataforma durante años.
De este modo Facebook ha dado pie a otras muchas empresas, sobe todo después de lo sucedido con el escándalo de Cambridge Analityca, para revisar sus medidas de seguridad y en muchos casos, mejorarlas. Sin embargo estas filtraciones de datos de las que se ha venido hablando, no siempre han sido culpa de la propia red social de Zuckerberg, como veremos en estas líneas.
Un ejemplo de ello es una vulnerabilidad recientemente denunciada y, afortunadamente, ya corregida, que permitía a los sitios web de terceros malintencionados, obtener información de Facebook como la foto o el nombre del perfil de un usuario. Además, hay que tener en cuenta que esa vulnerabilidad viene derivada de una característica web estándar que fue introducida en 2016.
Esto es lo que se conoce como un ataque de canal lateral, ya que no es causado por un fallo en el software en sí, sino en el sistema en el que se está ejecutando. En este caso, la vulnerabilidad se debe a una nueva función introducida en el estándar CSS o Cascading Style Sheet en el pasado año 2016. Llamada “mix-blend-mode“, filtró cierto contenido visual de una página de Facebook a un sitio web de terceros que incrusta Facebook dentro de un elemento “iframe”.
Firefox y Chrome llevan meses filtrando datos de Facebook
Normalmente esto no debería suceder debido a la política del origen implementada por los navegadores web, pero en este caso el error no extrae directamente imágenes o textos de los perfiles de Facebook. En su lugar, analiza cada píxel y, en el caso del texto, utiliza el reconocimiento óptico de caracteres OCR para extraer palabras significativas como nombres o incluso mensajes. Aunque en un principio esto puede parecer mucho trabajo, un PC tan solo tarda 20 segundos en hacer todo eso.
De este modo, los investigadores de seguridad Dario Weißer y Ruslan Habalov revelaron la mencionada vulnerabilidad a Google y Mozilla, que ya han parcheado sus navegadores para bloquear futuros intentos de atacar este fallo. Sin embargo aunque ya está subsanado, esto dejó a muchas personas desprotegidas entre 2016 y finales de 2017, pero al mismo tiempo los investigadores informan que, por razones aún desconocidas, el navegador Safari de Apple no se vio afectado.
Casi irónicamente, los navegadores de Microsoft, Internet Explorer y Edge, tampoco se vieron afectados porque ni siquiera implementaron la función estándar de la que te hemos hablado y que propició el error. Sin embargo, se teme que esto sea solo el comienzo, ya que a medida que las tecnologías y estándares web se vuelven más sofisticados y utilizan más el hardware, las posibilidades de que tales vulnerabilidades aparezcan se hacen mayores.
