Se è indubbio il suo successo in termini di pubblico, Facebook sembra soffrire dal punto di vista della sicurezza. La nuova variante del worm Koobface , ad esempio, è pensata per attirare gli utenti “amici” su un presunto video in streaming che nasconde al suo interno il codice malevolo dell’infezione. L’ultimo incidente di percorso di cui si ha notizia ha però a che fare con il codice del portale: si tratta di una falla cross-site scripting (XSS) con cui è possibile fare di tutto e anche di peggio.
La vulnerabilità, appartenente a un genere che da tempo va per la maggiore come vettore di attacco sul web, è stata dimostrata con due esempi concreti e dà la possibilità teorica a chi ne fosse a conoscenza di far credere all’utente di stare visitando Facebook mentre la maggioranza del contenuto e del codice della pagina proviene da tutt’altra parte .
Si tratta di una falla piuttosto pericolosa: chi l’ha scoperta ha informato gli admin di Facebook già lo scorso agosto. Il risultato è stato disarmante: la falla ha continuato indisturbata ad attendere che qualche malware writer o ingegnere software votato al lato oscuro della forza ne usufruisse per i suoi nefasti affari .
“Ho provato a mettere in guardia Facebook quanto prima fosse possibile, tuttavia non ho ricevuto ulteriori comunicazioni dopo il mio messaggio”, dice l’ignoto autore della scoperta della vulnerabilità, che nota tra l’altro che “secondo Bugtraq io non sono il primo a essere perplesso riguardo i contatti diretti con Facebook in relazione a un problema di sicurezza”.
La falla, il cui funzionamento sarebbe stato verificato con tutti i maggiori browser in circolazione e sul neonato Google Chrome, è stata chiusa solo dopo che The Register ha trattato in dettaglio la questione. Sono stati necessari richiesto quattro mesi e un outing pubblico prima che Facebook cominciasse a lavorare sul codice.
Alfonso Maruccia