facebook-mobile-hack

Parece ser que es posible hackear cualquier cuenta de Facebook con sólo un mensaje de texto, sin interacción del usuario y sin usar cualquier otro material malicioso como troyanos, phishing, keyloggers, etc.

Hoy vamos a explicar la forma en que un investigador de seguridad del Reino Unido, conocido como «fin1te» es capaz de hackear cualquier cuenta de Facebook en un minuto con sólo enviar un SMS.

Resulta que la mayoría de los usuarios de Facebook tienen vinculado su número de móvil con su cuenta, lo que les permite recibir actualizaciones de la cuenta de Facebook a través de SMS directamente en su móvil y también se puede acceder a su cuenta a través de ese número vinculado en lugar de su dirección de correo electrónico o nombre de usuario.

Sin embargo, según los hackers hay un fallo en el proceso de verificación de vinculación del número de teléfono, o en términos más técnicos, en el archivo /ajax/settings/mobile/confirm_phone.php

Esta página web particular, trabaja en segundo plano cuando el usuario envía su número de teléfono y el código de verificación, enviado por Facebook al móvil. Ese formulario de envío tiene dos parámetros principales, uno es el código de verificación y el otro es el profile_id, que es la cuenta vinculada al número.

Como atacante, sólo debes seguir estos pasos para ejecutar el truco:

Paso 1. Cambia el valor de profile_id por el valor del profile_id de la víctima mediante la manipulación de los parámetros.

Paso 2. Envía la letra F al 225225, que es el código abreviado de los SMS de Facebook en España (Puedes averiguar el código para tu país verificando tu número de móvil en Facebook y eligiendo tu país). Recibirás un código de verificación de 8 caracteres.

facebook-confirmation-code-form-hacking

Paso 3. Introduce el código en el cuadro o como valor del parámetro confirmation_code y envía el formulario.

codigo-confirmacion

Facebook aceptará el código de confirmación y de este modo el número de teléfono móvil del atacante estará vinculado al perfil de Facebook de la víctima.

En el siguiente paso el hacker sólo tiene que ir a la opción de contraseña olvidada e iniciar la solicitud de restablecimiento de contraseña en la cuenta de la víctima.

El atacante ahora puede obtener el código de recuperación de contraseña directo en su número de teléfono móvil que está vinculado a la cuenta de la víctima utilizando los pasos anteriores. Basta con introducir el código y restablecer la contraseña.

Si ya estabas pensando en usar esto para hackear la cuenta de Facebook de tu ex, lamento informarte que Facebook ya no acepta el parámetro profile_id del usuario final después de que el hacker les informara del fallo.

A cambio, Facebook recompensó a f1nite con 20,000 dólares. Lo curioso es que hay otros servicios que utilizan este método de verificación y que aun no han corregido el fallo, esperemos que lo hagan pronto.

5 Comentarios

Dejar respuesta

Please enter your comment!
Please enter your name here