Facebook, quattro mesi per tappare un buco

Il portale social per antonomasia ha lasciato aperta una falla nel sistema. Ci è voluto l'intervento dei media per smuovere le acque

Roma – Se è indubbio il suo successo in termini di pubblico, Facebook sembra soffrire dal punto di vista della sicurezza. La nuova variante del worm Koobface , ad esempio, è pensata per attirare gli utenti “amici” su un presunto video in streaming che nasconde al suo interno il codice malevolo dell’infezione. L’ultimo incidente di percorso di cui si ha notizia ha però a che fare con il codice del portale: si tratta di una falla cross-site scripting (XSS) con cui è possibile fare di tutto e anche di peggio.

La vulnerabilità, appartenente a un genere che da tempo va per la maggiore come vettore di attacco sul web, è stata dimostrata con due esempi concreti e dà la possibilità teorica a chi ne fosse a conoscenza di far credere all’utente di stare visitando Facebook mentre la maggioranza del contenuto e del codice della pagina proviene da tutt’altra parte .

Si tratta di una falla piuttosto pericolosa: chi l’ha scoperta ha informato gli admin di Facebook già lo scorso agosto. Il risultato è stato disarmante: la falla ha continuato indisturbata ad attendere che qualche malware writer o ingegnere software votato al lato oscuro della forza ne usufruisse per i suoi nefasti affari .

“Ho provato a mettere in guardia Facebook quanto prima fosse possibile, tuttavia non ho ricevuto ulteriori comunicazioni dopo il mio messaggio”, dice l’ignoto autore della scoperta della vulnerabilità, che nota tra l’altro che “secondo Bugtraq io non sono il primo a essere perplesso riguardo i contatti diretti con Facebook in relazione a un problema di sicurezza”.

La falla, il cui funzionamento sarebbe stato verificato con tutti i maggiori browser in circolazione e sul neonato Google Chrome, è stata chiusa solo dopo che The Register ha trattato in dettaglio la questione. Sono stati necessari richiesto quattro mesi e un outing pubblico prima che Facebook cominciasse a lavorare sul codice.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Olmo scrive:
    Bravo Alfonso
    Ottimo articolo, pieno di link di approfondimento. Un piacere leggerlo
    • Nome e cognome scrive:
      Re: Bravo Alfonso
      - Scritto da: Olmo
      Ottimo articolo, pieno di link di
      approfondimento. Un piacere
      leggerloquotoe come volevasi dimostrare uno degli articoli meno commentati. i lettori di punto informatico preferiscono scannarsi su linux rulez windows sux
    • Alfonso Maruccia scrive:
      Re: Bravo Alfonso
      I'm glad about that :-PE comunque sono anche quel genere di articoli che mi piacciono di più da scrivere, perché c'è da discutere soprattutto di tecnologia piuttosto che di tutto il resto....
  • Brenji Ahiai scrive:
    Morto uno, si punta ad altro...
    ...OpenSolaris? :D
Chiudi i commenti