Facebook ha resuelto un problema de codificación en los servicios de vídeo en directo que permitía a los atacantes eliminar efectivamente el contenido sin el consentimiento de los propietarios.
El 17 de abril, el investigador de seguridad Ahmad Talahmeh publicó un aviso explicando cómo funcionaba la vulnerabilidad, junto con un código de prueba de concepto (PoC) capaz de desencadenar un ataque.
El vídeo en directo de Facebook permite a los usuarios emitir y publicar transmisiones en directo, una función que ha sido ampliamente adoptada no sólo por particulares, sino también por empresas y organizaciones de todo el mundo, especialmente durante la época de la pandemia de COVID-19 debido a las órdenes de permanecer en casa.
Los propietarios pueden publicar transmisiones en directo a través de una página, un grupo y un evento. Una vez finalizada la emisión, los usuarios pueden aplicar el recorte de vídeo para eliminar el contenido innecesario de sus transmisiones, por ejemplo, depurando entre las marcas de tiempo de entrada y salida.
Talahmeh encontró un problema con esta función que permitía recortar el vídeo en directo en nombre de los propietarios hasta el punto de eliminarlo, un comportamiento inesperado que podría tener ramificaciones para la privacidad y la seguridad.
El problema radica en recortar el video a cinco milisegundos, según el investigador.
“Recortar el video a cinco milisegundos hará que tenga una duración de 0 segundos y el propietario no podrá deshacer el recorte”, afirma Talahmeh.
Talahmeh informó de sus hallazgos al gigante de las redes sociales el 25 de septiembre de 2020. El problema se resolvió en dos horas y Facebook confirmó un parche tres días después. Se emitió una recompensa por el fallo de 11.000 dólares a través de la BountyCon 2020 y Facebook concedió posteriormente otras dos recompensas, de 1.150 y 2.300 dólares.
El investigador de la recompensa de errores ha detallado por separado una forma de no recortar cualquier vídeo en directo en la plataforma, un informe de recompensa de errores por valor de 2875 dólares.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian