El investigador de seguridad Nathan Power ha descubierto un fallo en la subida de ficheros de Facebook que podra permitir el envo de cualquier tipo de fichero a travs de los mensajes de la red social.

Facebook, a travs de su servicio de mensajes entre sus usuarios, permite el envo de archivos adjuntos. Como es lgico, en ningn caso se permite que se intercambie un archivo ejecutable, por tanto la plataforma realiza ciertas comprobaciones sobre el fichero enviado para evitar que se trate de un binario.


Segn ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensin del nombre del fichero indicado. Este dato es enviado dentro de la peticin POST en la que se manda el archivo, (concretamente en el atributo filename del multipart/form-data). Al tratarse de una variable bajo el control del cliente, es fcilmente modificable teniendo acceso al trfico HTTP justo antes de enviar con cualquier programa, o generando una peticin personalizada.

Tras varios intentos, el Nathan Power finalmente consigui evadir el filtro de Facebook, y por tanto enviar el ejecutable, simplemente aadiendo un espacio al final del nombre del fichero. De este comportamiento se extraen varias conclusiones:

  • El mdulo, funcin o software encargado de tratar el nombre del fichero, no realiza un tratamiento adecuado del nombre del fichero. En este caso en concreto, eliminar los espacios al final del nombre del archivo.
  • Para discernir entre un archivo permitido o no, se comprueba la extensin del archivo, y se recurre a una lista negra de extensiones (exe, bat...), en lugar de una lista blanca.
  • No se realiza comprobacin alguna del tipo del contenido real del archivo (por ejemplo los dos primeros bytes).
  • Se comenten errores bsicos y antiguos, que ya han solucionado desde hace tiempo otras aplicaciones que han tenido que lidiar mucho con los adjuntos: los clientes de correo.


Facebook fue avisado el da 30 de septiembre, pero no respondi hasta pasado casi un mes. En el momento de escribir esta noticia, todava se podan enviar ejecutables y, como hemos comprobado, al descargar el archivo el espacio final del fichero desaparece (quizs ya demasiado tarde).

Fuente