Corretta un’altra falla di sicurezza in Facebook

di Massimo Rabbi

scritto il

Ancora problemi di sicurezza per il noto “social network” Facebook. Questa volta la segnalazione arriva da IDG News, che ha ripreso quanto riportato dallo studente Steven Abbagnaro sul suo blog.

Il bug in questione consentiva ad un malintenzionato di cancellare tutti i contatti inseriti nella lista degli amici di un generico utente.

Il proof-of-concept realizzato da Abbagnaro sfrutta lo stesso bug CSRF (“Cross-Site Request Forgery”) utilizzato poco tempo fa da M.J. Keith, esperto di sicurezza di Alert Logic.

Keith aveva mostrato come fosse possibile aggiornare le informazioni di profilo e privacy di un utente nonostante eventuali impostazioni esistenti.

I responsabili di Facebook, a quanto pare si sono preoccupati di dichiarare chiuso il problema un po’ troppo in fretta.

Dopo una serie di test Abbagnaro ha infatti verificato che il bug CSRF era ancora lì, e consentiva per l’appunto la cancellazione della lista dei contatti amici.

A quanto pare sembra che il problema sia stato “definitivamente” risolto in data 22 maggio. La conferma arriva dallo stesso Abbagnaro in un update al post originale, nel quale oltre ai dettagli sull’attacco compare anche un “video dimostrativo”.

[youtube -FU7xIpoWCM]