lunes, enero 18, 2016

"Robarle" los recuerdos a Mark Zuckerberg en Facebook

Con el final del año 2015, en Facebook se añadió una vez más una opción de viralización de contenido. En este caso la opción de Recuerdos del 2015, disponible dentro de Year in Review. En ella, al igual que cuando se ha hecho en el pasado un vídeo con los mejores momentos del año, o con tu historia en Facebook, se seleccionan una serie de fotos con sus comentarios y actividad social para repasar lo más importante del año. En teoría, estos recuerdos solo se pueden poner con información de tu muro, pero la realidad es que se pueden "robar" momentos y compartir en tu Year in Review los momentos de otra persona.

Figura 1: Cómo "robarle" los recuerdos a Mark Zuckerberg en Facebook

Al final no sería más que como compartir el post de alguien en tu muro, pero en este caso metiendo las fotos de otros, y sus comentarios dentro de la revisión de tu año. El proceso es sencillo y permite que todos los comentarios y likes que hayan tenido los fotos, vengan con ellas. Estos son los pasos.

Paso 1: Ingresamos a los Recuerdos de Facebook

Figura 2: Creación de tu Year in Review con tus fotos

Paso 2: En este paso lo que haremos es verificar las imágenes que tenemos en nuestros recuerdos, en mi caso sólo aparecen cuatro, ya que pues no tuve un año muy movido, podemos verificar todas nuestras fotos dando clic en el botón Editar, hay podemos seleccionar que fotos nuestras queremos que aparezcan.

Figura 3: Selección de fotografías para tu Year in Review

Paso 3: Vamos a desmarcar todas nuestras fotos, dejando solo una foto publicada, y vamos a compartir así nuestro año 2015.

Figura 4: Creación del Year in Review

Paso 4: Acá esta el truco, nos vamos a las imágenes que deseemos o los recuerdos de algún personaje, en este caso el mismo creador de Facebook Mark Zuckerberg, y con la opción que nos permite nuestro navegador, inspeccionamos el código fuente y copiamos algún enlace del album.

Figura 5: Selección de enlaces en el album de recuerdos de Mark Zuckerberg

Paso 5: Con la ayuda de Graph API Explorer, una herramienta en Facebook for developer, que usaremos para extraer de manera rápida todos los ID_photos, de la cuenta de Mark Zuckerberg.

Figura 6: Selección de IDs de fotografías en el album de recuerdos de Mark Zuckerberg

Paso 6: Ya teniendo listado todos los ID_photos, nos dirigimos a nuestros recuerdos, y seleccionamos solo las fotos que Mark igualmente ha seleccionado en sus recuerdos, con los respectivos ID . Recuerdos de Mark Zuckerberg.

Figura 7: Nuestro album de recuerdos antes de hacer nada
Paso 7: Ahora nuevamente con la ayuda del navegador inspeccionaremos esta vez, el botón Compartir, y editamos el botón con los ID_photos que el mismo Mark Zuckerberg ha seleccionado para sus recuerdos.

Figura 8: Album de recuerdos de Mark Zuckerberg

Paso 8: Al ya tener modificado el botón, procederemos a compartir nuevamente nuestros recuerdos, dando a si por resultado, el cambio total de mis recuerdos por los de otra persona, trayendo consigo cualquier like comentario de dicha foto.

Figura 9: Sustituimos IDs de fotos y volvemos a compartir el álbum de fotos

Una vez que se ha vuelto a compartir el album, los recuerdos de Mark Zuckerberg aparecen dentro de nuestro album de recuerdos.

Figura 10: Album de recuerdos con recuerdos de Mark Zuckerberg inyectados

Paso 9: Una de las ultimas cosas que nos quedan es comparar.

Figura 11: Comparación de recuerdos del año

Paso 10: Comprobando las imágenes, abriéndolas desde mis recuerdos y ver como así nos hemos traído los recuerdos de Mark Zuckerberg como los likes o comentarios a nuestros recuerdos de Facebook.

Figura 12: Viene toda la información asociada a la fotografía en el album de recuerdos

Esta pequeña demostración no es considerada por Facebook como un fallo de seguridad, ya que la privacidad de la fotografía queda tal y como la comparta el dueño de la misma.

Figura 13: Respuesta del equipo de seguridad cuando se les reportó esta "característica"

Aún así, los responsables de Facebook respondieron cuando se les notificó con que era una característica de este producto el que se pudieran añadir fotos de otros, pero lo cierto es que no se valida que en tu Year in Review se añadan fotos de otros cuando re-compartes, algo que cuando creas el album inicial no se permite.

Autor: Androw Mauricio
Facebook: https://www.fb.com/XxAnDrOwxX

PD: Esto solo es una PoC, así que en lugar de robarle los recuerdos a nadie - que es bastante triste - vive y ten los tuyos propios.

5 comentarios:

Anónimo dijo...

Sencillo y curioso, saludos maligno.

Anónimo dijo...

No es un fallo de seguridad, las fotos que llevas a tu perfil son públicas. Lo mismo si las compartes, o bien las descargas manualmente y las subes a tu perfil.

Unknown dijo...

Si es un fallo pues dicha persona puede tener restringida la privacidad de su cuenta de forma que no deverias poder ver nada que la persona no quiera que veas

Anónimo dijo...

Interesante cuanto menos, saludos!

Inseguro y Navegando dijo...

>.<

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares