Vunerabilità in Facebook – Allegare file EXE nei messaggi privati

 

Nathan Power della SecurityPentest ha individuato una vulnerabilità nel processo di caricamento dei file sul noto social network Facebook. È comunemente possibile utilizzare Facebook Messanger per inviare file ad amici ma il sistema impediva di caricare file con estensione .EXE in quanto considerati portatori di virus.

Le ricerche effettuate da Nathan hanno sottolineato la possibilità di caricare un file eseguibile (.exe) grazie ad un semplicissimo escamotage, basta infatti aggiungere uno spazio al termine dell’estensione perché l’uploader di Facebook validasse il file. Per esempio il file “sono_un_virus.exe” non viene accettato mentre “sono_un_virus.exe ” viene processato senza problemi.

Se a questa vulnerabilità viene aggiunta la caratteristica di Windows di auto eliminare eventuali spazi contenuti nell’estensione dei file è possibile capire la pericolosità di questa procedura.

La vulnerabilità scoperta lo scorso 28 Ottobre 2011 è però già stata fixata da Facebook, ad oggi non è possibile utilizzare questo trucco.