0

Scoperta grave falla su Facebook. No, non riguarda il credito infinito su The Sims.

Mi dispiace per coloro che si aspettavano un trucco funzionante per aumentare cash su The Sims Social, ma il bug in questione è qualcosa di disarmante che ci fa capire come le cose più semplici siano spesso le più efficaci e pericolose.

Dall’introduzione di Facebook Messages, tutti noi abbiamo grazie a zio Zuckerberg, una vera e propria casella email nomeutente[at]facebook.com ed è stata introdotta in contemporanea la possibilità di caricare allegati da inserire nei messaggi. Ovviamente il caricamento di files .exe è bloccato perfino da Gmail, figuriamoci se Facebook, stranoto luogo di bimbiminchia elevata pericolosità visto le spesso scarse conoscenze informatiche degli utenti, permettesse il caricamento di virus.exe. Infatti se da comuni mortali provassimo a caricare un eventuale lol.exe, Facebook ci risponde ovviamente che non è possibile caricare files di tale tipo.

#Einvece una mastodontica falla è stata scoperta dal ricercatore Nathan Power che è riuscito con una facilità estrema ad allegare un .exe ad un messaggio. In pratica Nathan ha analizzato ciò che avviene durante il caricamento di un file e dando quindi uno sguardo alla richiesta POST da parte del browser web essa risulta:

Content-Disposition: form-data; name="attachment"; filename="lol.exe"

Il valore filename viene controllato quindi per determinare il tipo di file che si sta caricando. Un sistema infallibile direte voi. In effetti modificando ad hoc la richiesta POST è bastato inserire uno spazio vuoto dopo l’estensione .exe per raggirare il sistema di caricamento:

Content-Disposition: form-data; name="attachment"; filename="lol.exe "

Il metodo sembra funzionare davvero e per fortuna non è facilmente replicabile dai lamer di passaggio che rifilano virus trovati su Google.

Il consiglio resta sempre, soprattutto per i niubbi, fare attenzione agli allegati che si ricevono.

Andrea Venditti

CEO, SEO e Webmaster del sito web in cui stai leggendo questo messaggio.