Um pesquisador de segurança na web de Portugal descobriu várias vulnerabilidades que vêm afetando o Facebook. David Sopas, funcionário da WebSegura.net, encontrou brechas que considera grave. De acordo com o Net Security, como a rede social ignorou seus alertas, ele decidiu então trazer essas informações para o público.

Segundo David, uma das vulnerabilidades é a possibilidade de enviar para os servidores da rede social quaisquer tipos de arquivos e extensões, por meio da ferramenta Ads/Tools/Text_Overlay.

“Um usuário pode fazer upload de arquivos executáveis ou simplesmente usar servidores do Facebook como repositório de arquivos. Na minha prova de conceito, carreguei um arquivo auto-executável sem restrição alguma e pude acessá-lo a qualquer momento, de qualquer lugar, contanto que estivesse logado com minha conta”, explicou.

Ele também encontrou várias brechas de Reflected Filename Download (RFD), que são os arquivos escolhidos pelos navegadores na ausência de um previamente selecionado para completar o descarregamento do conteúdo. A vulnerabilidade pode, por exemplo, enganar usuários, que, enquanto pensam estar baixando material confiável de um domínio do Facebook, na verdade estão recebendo um malware.

Um das falhas de RFD, recentemente descoberta, é, na opinião de David, ainda mais perigosa do que as anteriores e “não requer qualquer tipo de autenticação, algo como um token, chave de aplicação e até mesmo uma conta no Facebook”.

Todas as potenciais vítimas afetadas por este problema podem ter seus sistemas comprometidos. Ao clicar num link, ele pode automaticamente baixar um arquivo auto-executável, criado especificamente para rodar num navegador – seja Internet Explorer, Opera, browser do Android ou Chrome para o Android – e abrir uma página maliciosa.

O Facebook, por enquanto, não comenta as descobertas de David.

Com informações de Net Security, Websegura e Canaltech.