Parece inimaginable que un solo mensaje de texto (SMS) sea suficiente para hackear una cuenta de Facebook sin siquiera usar interacción con el usuario o utilizando troyanos, keyloggers o phishing. Aparentemente es posible. Un investigador de una firma de seguridad del Reino Unido, “fin1te” es capaz de hackear cualquier cuenta de Facebook con un solo mensaje de texto.

La mayoría de la gente que usa Facebook tiene enlazado a su teléfono la red social, de manera que cuando hay alguna actualización, se recibe vía mensajes de SMS directamente al teléfono celular. De acuerdo con Hacker, el problema ocurre en el proceso de ligar el número de teléfono, o en términos técnicos al archivo /ajax/settings/mobile/confirm_phone.php.

Este código en particular trabaja sin hacerse notar (en el background) cuando se da el número de teléfono y el código de verificación, mandado por Facebook al teléfono móvil. Esta forma tiene dos parámetros, uno para el código de verificación y un segundo, llamado profile_id, el cual es la cuenta que se enlaca con el número que queremos.

Para poder hackear el asunto, el atacante cambia el valor del profile_id de la víctima.
Manda la letra F a 32665, que es el código abreviado de un SMS para Facebook en el Reino Unido. De regreso se reciben 8 caracteres para hacer la verificación.

Se escribe el código de confirmación y se manda la forma. Facebook entonces aceptará dicho código y el número del atacante se habrá ligado al perfil de la víctima en Facebook. Acto seguido, el atacante puede cambiar la contraseña de Facebook de la víctima si quiere.

Facebook ya sabe del tema y ya no acepta el parámetro profile_id después de que se reportó el problema. En agradecimiento, Facebook pagó 20,000 dólares a fin1te por su hallazgo.

Referencias:

The Hacker News