Por ser a maior rede social do mundo, com 1,39 mil milhões de utilizadores, o Facebook tem um grau de responsabilidade na mesma proporção ao nível da segurança. Por mais pequena que seja uma vulnerabilidade na plataforma, milhares ou milhões de pessoas ficam automaticamente expostas.

E este é o ponto da situação atual. Milhões de utilizadores do Facebook estão expostos a problemas de segurança que existem na rede social e que se aproveitados de forma eficaz pelos piratas informáticos, podem até resultar em perda do domínio do computador para os crackers.

O especialista em segurança informática David Sopas, da publicação Websegura, divulgou publicamente duas falhas que existem na rede social, depois de gigante norte-americana ter decidido não corrigir os problemas.

"Como o Facebook é utilizado por milhões de utilizadores penso que estes devem ser informados dos riscos que correm e foi por esse motivo que divulguei as falhas", justifica em resposta ao TeK.

"Foram sempre acompanhando o caso, sempre rápidos e prestáveis. Houve diversas trocas de emails, mas no fim acharam que não era uma falha possível de corrigir e controlar do lado do Facebook. O que é errado na minha opinião", comenta David Sopas a propósito do feedback que foi tendo dos elementos do programa de alerta de falhas da rede social.

A falha a que David Sopas se refere em concreto, diz respeito a um reflected filename download (RFD), um problema que permite criar um link de descarga de conteúdos e que inclui o endereço facebook.com. Ao parecer fidedigno, muitos utilizadores poderão sentir-se mais tentados em descarregar o ficheiro e abri-lo.

[caption]Nome[/caption]

Mesmo reconhecendo a falha, o Facebook considera que são necessárias várias condicionantes - por exemplo, o internauta estar a utilizador o Internet Explorer 9 - para que um ataque seja bem sucedido. E por isso decidiu não agir.

"Essas condicionantes são criadas por eles. O Facebook acredita que o utilizador tem sempre a decisão final, o que é verdade, mas milhares de utilizadores estão vulneráveis porque acreditam que o ficheiro está realmente alojado no Facebook - um dominio "confiável". Eles confirmam a existência da falha e de outras que existem que não foram divulgadas", conta ao TeK o investigador português.

E quão fácil é explorar esta vulnerabilidade? "O grau de dificuldade é baixo. Não é necessário muito conhecimento para aproveitar uma falha RFD. O utilizador apenas tem de enviar o link [dependendo do browser claro] e o utilizador confiando na origem do URL clica e executa o ataque. Rapidamente a vítima pode ter o seu sistema operativo nas mãos do utilizador malicioso", explica.

Mas há uma segunda falha, que permite armazenar nos servidores do Facebook um qualquer ficheiro, incluindo executáveis de programas maliciosos.

David Sopas explica ao TeK que durante os seus testes conseguiu alojar ficheiros nas extensões .exe, .bat, .swf, .scr, .js e que tinham um tamanho máximo de 4MB.

Mesmo não sendo um cenário tão grave como o primeiro - que permite ganhar acesso aos computadores dos utilizadores -, o resultado final não deixa de ser incómodo: a maior rede social do mundo ter alojado nos seus servidores conteúdos maliciosos.

"Neste caso o utilizador malicioso pode guardar malware ou outro conteúdo nos servidores do Facebook. Sempre que necessitar, descarrega-o", detalha David Sopas. O perigo só não é maior pois apenas quem faz o upload do ficheiro pode aceder ao mesmo.

Uma questão de ética

Recentemente a questão das divulgações públicas de vulnerabilidades esteve em tendência, depois de a Google ter deixado utilizadores do Windows expostos quando a Microsoft tinha prometido uma atualização para dois dias depois.

O caso moveu tantas críticas que a Google reviu inclusive a sua estratégia de divulgação de vulnerabilidades. Será que David Sopas concorda com estas alterações?

"Sim concordo com a política do Google. Grandes empresas têm de ter uma resposta rápida à resolução de falhas de segurança. Caso contrário não faz sentido".

O especialista lembrou uma falha no Tumblr que reportou à Yahoo! no ano passado e que só após a "divulgação pública é que corrigiram". "Mas penso que com os programas de divulgação de falhas a situação está a mudar - para melhor", concluiu.

Rui da Rocha Ferreira


Escrito ao abrigo do novo Acordo Ortográfico