A falha permite o envio de links maliciosos para domínios confiáveis, como é o caso do domínio do Facebook, e aí forçar um download que abre caminho à execução de qualquer comando no sistema operativo do utilizador afetado. Quanto mais elevado o nível de permissão do utilizador maior pode ser o estrago. Ou seja, num perfil de utilizador com privilégios de administrador ficam abertas todas "as portas" para um ataque.


A rede social está vulnerável a uma falha RFD - Reflected File Download, divulgada em outubro do ano passado por um especialista em segurança, como detalha David Sopas no blog Websegura.


Já foram entretanto documentadas online experiências bem sucedidas de testes à falha, que permitiram replicar um RFD e, graças a isso, abrir remotamente programas do Windows como o Paint, a calculadora, ou fechar o Chrome e reabri-lo com o modo de segurança inativo para roubar os cookies do utilizador.


David Sopas, especialista em segurança, relata a realização de testes idênticos visando o Internet Explorer 9, o Windows Vista e o Windows 7, durante os quais também conseguiu executar o ataque. Com o IE8 e com o IE11, por seu lado, não foi possível correr o ataque, admite.

"Isto é um grande risco de segurança para todos os utilizadores desta rede social", sublinha David Sopas, aconselhando que os links recebidos sejam sempre verificados por quem os recebe.


Em respostas à notificação dos testes realizados pelos especialistas de segurança, a rede social refere que já tem conhecimento do problema e garante que tem em marcha mecanismos de monitorização, para detetar possíveis ameaças. Também admite que de momento não tem forma de resolver o problema de forma definitiva e global.

Escrito ao abrigo do novo Acordo Ortográfico