Facebook tiene un importante fallo de seguridad en el análisis de sus imágenes

Peritajes informáticos, OSINT y auditorías.

Facebook tiene un importante fallo de seguridad en el análisis de sus imágenes

febrero 9, 2022 Blog 0

El equipo de Quantika14, liderado por Jorge Coronado, ha encontrado una importante falla de seguridad en el análisis automático de las imágenes de Facebook. Esta falla puede comprometer la privacidad del usuario frente a las empresas que realizan extracciones masivas de Big Data

HTML5 está diseñado de forma tal que sea fácil extender los datos asociados a un elemento en particular sin necesidad de que tengan un significado definido. Los atributos data-*  permiten almacenar información adicional sobre un elemento HTML cualquiera sin tener que recurrir a artilugios tales como la utilización de atributos no estándar, propiedades adicionales en el DOM o Node.setUserData().

Facebook realiza un análisis bastante profundo de las imágenes. No solo identifica palabras y matrículas. Todos estos datos lo muestra en un atributo “ALT” y podemos obtenerlo de forma automática para generar un big data.

Seguramente esta funcionalidad fue diseñada para usuarios ciegos. Sin embargo, su exposición a todos los usuarios pone en peligro nuestros datos permitiendo que una aplicación automática pueda extraerlos de forma masiva.

Aprovechándose de este error en la seguridad del buque insignia de Meta, cualquier empresa podría monitorizar, sin necesidad de tener a nadie observando un perfil, las fotos que un usuario sube a su muro. Es decir, mediante un sencillo script, se podrían espiar y extraer millones de datos del perfil de cualquier usuario de Facebook del mundo, trazando el modelo de conducta de los usuarios a gran escala (por ejemplo, si son ciclistas).

Aunque algunas investigaciones publicadas apuntan a que Facebook ya vende los modelos de conducta de sus usuarios para hacer publicidad personalizada, mediante este bug cualquier organización podría realizar una extracción masiva de datos sin el beneplácito de la compañía de Zuckerberg.

Anuncio de la nueva aplicación de Facebook en el medio argentino Télam

Dentro del elemento de HTML “img” encontramos un tag llamado “alt” que contiene la siguiente frase: “Puede ser una imagen en blanco y negro de una o varias personas y calle”.

En análisis de texto también lo incluye. Es decir, Facebook nos facilita saber si existe algún texto en la imagen. Por ejemplo, en la siguiente foto podemos ver un jarrón con flores y un texto arriba.

Este análisis es posible que se haya diseñado para que la red social realice una descripción automática de la imagen. Sin embargo, no se ha aplicado una correcta seguridad y queda latente en el código fuente. Podemos ver en imágenes que no devuelve ningún resultado:

Identificación de personas y usuarios en las fotos

Otra funcionalidad interesante es la identificación de usuarios que aparecen. De igual forma que al etiquetar nos lo sugiere, en el código también lo expone.

Sabe cuántas personas aparecen en la foto:

Otra foto donde identifica que hay una persona aunque esté maquillada:

Identificación de posturas, estados, ubicaciones y elementos

En esta foto de un ayuntamiento podemos ver cómo encuentra a una persona que está de pie, en un carril bici (quizás eso aún el análisis de Facebook no lo sepa reconocer) y con una manguera echando agua.

El análisis de FB dice:

¿Y si queremos obtener la matricula?

Fácil, también nos lo muestra:

En algunos casos no solo identifica el número de personas, también si están sonriendo:

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.