Quinta, 27 Março 2014 18:26

Como invadir o Facebook em 60 segundos

O Facebook revelou uma falha que pode ser usada por hackers para tomar conta de perfis de qualquer usuário da rede por meio de mensagens SMS em menos de 60 segundos. A empresa também premiou o autor da descoberta com US$ 20 mil.

Jack Whitton, desenvolvedor britânico conhecido na rede como Fin1te, apresentou a vulnerabilidade à equipe do Facebook no dia 23 de maio. Apenas cinco dias depois, o Facebook reconheceu o problema em seu relatório de erros e afirmou a ele que o problema havia sido resolvido. Na última quarta-feira, 29 de junho, o programa do Facebook que recompensa pesquisadores responsáveis por trazer à tona esse tipo de falha discretamente à empresa (antes de divulgar aos usuários e desenvolvedores) agradeceu Whitton por “tornar o Facebook mais seguro”. Essa política é chamada de Facebook Bug Bounty Program.

A vulnerabilidade era relacionada ao número de telefone associado à conta do Facebook. “Isso permite o recebimento de atualizações vai SMS e também significa que você pode fazer login usando o número em vez do endereço de seu e-mail”, esclarece Whitton em seu blog, onde detalhou o caso.

Graças à falha na maneira como a página php do Facebook realiza as confirmações com SMS, entretanto, Whitton identificou um ataque em apenas dois passos que permitia a ele associar qualquer número de telefone com o perfil de qualquer usuário do Facebook para iniciar a redefinição de uma nova senha, dando ao desenvolvedor acesso completo à conta do usuário atingido. O verdadeiro dono da conta, enquanto isso, não teria o menor indício de que o hacker estaria com acesso a seu perfil até que ele tentasse fazer o login sem sucesso.

O mecanismo de Whitton tira vantagem da ativação do Facebook por textos móveis. Nos Estados Unidos, essa função acontece ao enviar uma mensagem SMS com a palavra fb para o número 32654, mas o procedimento varia de acordo com cada país. Depois de alguns instantes, o Facebook envia um SMS de volta ao destinatário com um código de oito caracteres usados para entra na página de configurações móveis no site antes que o número de telefone se torne ativo.

O ataque envolve a modificação do código usado nessas configurações antes que seja enviado de volta ao Facebook. Particularmente, ele descobriu que poderia mudar o elemento “profile_id” – referente ao número público de ID de cada conta – de absolutamente qualquer perfil. Depois de enviado o formulário, o Facebook iria associar o número do hacker à conta-alvo.

Depois disso, ele poderia usar a ferramenta de ‘resetar’ a senha para pedir uma nova confirmação de código para o aparelho celular via SMS autorizado a receber as informações da conta. Esse código, então, era enviado para a tela do Facebook e a senha da conta atacada era mudada de acordo com a escolha do autor do ataque. A esse ponto, o hacker teria ganhado controle da conta.

“A recompensa relacionada a esse bug foi de US$ 20 mil, claramente demonstrando a severidade do problema”, afirmou Whitton. A correção do Facebook, contudo, foi simples: “O Facebook respondeu apenas com o fim da aceitação do parâmetro profile_id do usuário para esse procedimento”, completou.

Assim como a bonificação de Whitton sugere, a descoberta de vulnerabilidades de softwares pode solucionar grandes bugs, não só do Facebook. A Microsoft revelou, no início deste mês, o valor máximo de US$ 100 mil para a descoberta de “novas técnicas de explorar vulnerabilidades”.

Por mais que isso seja uma quantia substancial em dinheiro, a realidade é que estamos lidando com um mercado aberto – o undergroud do cibercrime – de vulnerabilidades que podem render muito mais. “Aposto que esse bug vale muito mais que US$ 20 mil, mas ainda é uma boa quantia para receber em cima de falhas descobertas”, afirmou um pesquisador de falhas de Dublin conhecido por Security Ninja, por meio de sua conta no Twitter, sobre história de Whitton.

Por outro lado, revelar a falha ao Facebook em vez de publicá-la em comunidade de cibercriminosos pode significar o reconhecimento público do papel de ciberativistas na responsabilidade de corrigir falhas. Isso pode render uma boa carreira para alguém como Whitton, que trabalha como engenheiro de segurança durante o dia e, à noite, mantém uma carreira independente como pesquisador de segurança da informação. Ele ganha a vida testando aplicações web e revisando códigos para bugs.

IT Web

Publicado em Informativos

Empresa adquire Oculus VR, fabricante do headset de realidade virtual Oculus Rift, por U$2 bilhões

Para não ficar de fora do mercado de computação wearable, o Facebook anunciou esta semana que comprou a Oculus VR, fabricante de Oculus Rift, headset de realidade virtual, pela quantia de U$2 bilhões – U$400 milhões em dinheiro e U$1.6 bilhões em ações do Facebook.

É menos que os U$19 bi que o Facebook gastou na aquisição do WhatsApp no mês passado, no entanto, é a segunda maior aquisição a empresa até o momento. A Oculus VR começou a partir de uma campanha Kickstarter que buscava US$ 250 mil e conseguiu arrecadar quase 10 vezes essa quantia no tempo de duração da ação, concluída em outubro de 2012.

Em um post público, o CEO do Facebook, Mark Zuckerberg descreveu a aquisição como uma negociação para a empresa começar a focar nas plataformas que virão depois das móveis. A tecnologia da Oculus, segundo ele, “abre a possibilidade de experiências completamente novas.”

Zuckerberg afirmou que a Oculus, com a ajuda do Facebook, continuará a se concentrar em seu headset Rift para o jogos imersivos. “Mas este é apenas o começo”, disse ele. “Depois de jogos, vamos fazer da Oculus uma plataforma para muitas outras experiências. Imagine desfrutar um assento na quadra em um jogo, estudar em uma sala de aula de alunos e professores de todo o mundo ou a consultar com um médico face a face – apenas colocando os óculos em sua casa”.

O Google está imaginando exatamente isso, mas com o Glass e seus aplicativos googles. E, assim, há também outros: o Augmedix recentemente levantou US$ 3,2 milhões para deixar o Glass mais adequado para médicos. O setor de tecnologia está esperando que o mercado de computação wearable decole da mesma forma como o mercado de dispositivos móveis.

Apesar do fato de que a obsessão do Facebook com a interação social e o compartilhamento parece não ajustar-se muito com um dispositivo projetado para isolar o portador do mundo real, Zuckerberg, contudo, exalta o headset Oculus como uma nova plataforma de comunicação.

Brendan Iribe, cofundador e CEO da Oculus VR, caracterizada sua companhia de tecnologia de de modo semelhante: “Nós acreditamos que a realidade virtual será fortemente definida por experiências sociais que conectam as pessoas em mágicas e novas maneiras.”

Além disso, a aquisição da Oculus VR também representa uma tentativa de melhorar a imagem do Facebook entre pequenos e médios desenvolvedores de jogos – um grupo à margem da relação especial do Facebook com o Zynga, que terminou no final de 2012. No ano passado, o Facebook tentou melhorar as relações com os desenvolvedores menores de jogos, com a implantação de um programa piloto de desenvolvimento de jogos móveis e a aquisição da Parse. A volta da conferência de desenvolvedores Facebook F8 no próximo mês dá continuidade ao esforço.

IT Web

Publicado em Informativos

O chat do Facebook mudou nesta quarta-feira (20), segundo relato de usuários da rede, e ficou mais próximo do layout de aplicativos de bate papo.

Agora, as mensagens trocadas entre os usuários são mostradas dentro de balões, um estilo adotado por aplicativos de chat.

Com a mudança, o visual do chat fica mais agradável e é mais fácil de distinguir quem é o emissor da mensagem.

Nesta terça-feira (19), o Facebook já havia feito uma alteração na ferramenta de mensagens. Começara a exibir no próprio chat quais usuários entre os que estiverem on-line no bate papo acessam a rede social via computadores e quais o fazem por smartphones e tablets.

Anteriormente, a distinção era feita apenas quando os usuários enviavam mensagens de celulares. Abaixo dos textos, um aviso mencionava que o envio havia sido feito de um celular e, em algumas vezes, a localização.

Agora, a palavra "mobile" é exibida ao lado dos usuários que estiverem acessando o site em um smartphone ou tablet. O termo "web" identifica aqueles que virem o site pelo PC.

A mudança ocorre no momento em que o Facebook modifica também seu aplicativo de bate papo, que passa a liberar a troca de mensagens entre usuários da rede e pessoas que não possuem conta nela.

Renovado, além de tentar barrar o avanço de outros apps de chats via celular, como o WhatsApp, o “Messenger”, de quebra, colhe os números de celular dos usuários e funciona como peça de atração de indivíduos que não acessam o site.

Publicado em Informativos