Un desarrollador afirma que los enlaces que compartes en Facebook Messenger no son seguros
Nuestra privacidad en Facebook es absolutamente relativa, depende de múltiples factores y que la plataforma de Zuckerberg cuenta con un compendio de información que asustaría a cualquiera que se pare a mirarla.
Sin embargo, las opciones en la configuración de nuestra cuenta así como la posibilidad de compartir enlaces a través de conversaciones privadas parecían ofrecer ciertas garantías. Algo que, según parece, se ha encargado de desmantelar, a través de Medium, un investigador. En concreto lo que ha descubierto es que los enlaces compartidos de manera individual con otros usuarios pueden ser obtenidos con relativa facilidad.
¿Conseguir enlaces privados?
Se trata de Inti De Ceukelaire, especialista en seguridad y que ha explicado al citado medio de comunicación cómo trata Facebook Messenger los links intercambiados de esta manera. Y lo ha hecho, precisamente (y siempre teniendo en cuenta sus declaraciones), consiguiendo algunos de ellos. Eso sí, a priori no podemos olvidar comentar que se encuentra registrado como desarrollador.
De hecho, afirmó demostrar su “teoría” de la mano de una serie de herramientas habilitadas para desarrolladores como el rastreador de Facebook, que fue quien reveló enlaces que le llevaron desde a noticias hasta documentos de cierta relevancia contenidos en Google Docs. Pero veamos cómo explica su logro.
El proceso
Ceukalaire, de esta manera, partió de la vulnerabilidad que descubrieron los investigadores de seguridad de Checkpoint a principios de esta misma semana; un fallo de seguridad que permitía a los atacantes cambiar los mensajes y enlaces enviados a través de Facebook Messenger; y una posibilidad que le llevó a indagar más allá, incluso después de que los de Zuckerberg parchearan el error.
Así, este especialista explica cómo, la primera vez que un enlace específico se comparte en la plataforma, extrae la imagen en miniatura del título, la descripción y asigna un número de identificación; una información que se encarga de almacenar para, la próxima vez que nos muestre el vínculo, buscarlo en su base de datos.
De hecho, su sistema otorga una cifra a todos los objetos almacenados, desde imágenes, hasta estados y similares. Una cifra única y una identidad en la que, por ejemplo, Mark Zuckerberg es el cuatro (tal y como puede verse en la imagen inferior). Además, cualquier desarrollador puede solicitar un elemento a través de este dígito, a través de la API de Facebook, que le dará esta información únicamente si tiene el correspondiente permiso de acceso.
Esto significa, entre otros y para que te hagas una composición de lugar, que no puede acceder a la actualización de estado de una persona sin su consentimiento. Todo correcto, pues. Sin embargo, y después de “juguetear” durante un tiempo con esta característica (y obtener constantes mensajes de error) este investigador se percató de que no siempre era así. “Cuando estaba a punto de abandonar, apareció una URL”, comentó.
Una dirección que decidió enviar a su solicitud inicial. “Para mi sorpresa, esto funcionó. En ese punto me pregunté si también podría usar esto para ver enlaces que otros usuarios habían compartido durante sus conversaciones privadas”. Para comprobarlo, le pidió a un amigo (Bas Declerq) que crease un documento en Google Docs y que se lo enviase a sí mismo a través de Facebook Messenger.
Seguidamente y valiéndose del depurador de Facebook (Open Graph Debugger), Bas consiguió el número de identificador del mensaje. Unos dígitos que le proporcionó a Ceukelaire y que este buscó en su propia cuenta, topando, sorprendentemente y tal y como parecen reflejar las capturas de pantalla, con el link al doc.
Por nuestra parte, hemos tratado de recrear este problema siguiendo el método descrito, aunque lo único que hemos obtenido han sido mensajes de error tal y como podéis ver en las imágenes que incrustamos a continuación.
Al margen de lo comentado y para acabar, cabe recalcar que el experimento de Inti De Ceukelaire no fue llevado a cabo a gran escala, sino que el investigador se centró en este y otros pocos ejemplos con el objetivo de evitar que Facebook suspendiese su cuenta.
En todo caso, podría haberlo hecho cualquier otro con unas intenciones que excediesen el mero hecho de informar y evidenciar a la red social ante este problema (que por cierto, no se ha mostrado demasiado preocupada al respecto).