Comparte en:

Han pasado más de seis años desde que Facebook lanzó su ambicioso programa Free Basics para llevar Internet a las masas. Ahora, la red social vuelve a funcionar con una nueva iniciativa zero-rating llamada Discover.

El servicio, disponible como una web móvil y una aplicación para Android, permite a los usuarios navegar por Internet utilizando límites de datos diarios gratuitos.

Facebook Discover se está probando actualmente en Perú en asociación con empresas locales de telecomunicaciones como Bitel, Claro, Entel y Movistar.

A diferencia de la navegación regular de contenido enriquecido, el proyecto de conectividad de Facebook solo proporciona navegación basada en texto de bajo ancho de banda. Lo que esto significa que no se admiten otras formas de contenido intensivo en datos como audio y video.

Otro diferenciador clave es que trata a todos los sitios web por igual. Los usuarios de Free Basics están limitados a solo algunos de sitios enviados por desarrolladores y que cumplen con los criterios técnicos establecidos por Facebook.

La medida, en última instancia, generó críticas por violar los principios de neutralidad de la red, lo que llevó a su prohibición en la India en 2016.

Un proxy seguro basado en la web

Pero, ¿Cómo funciona realmente Discover? Es muy similar a Free Basics en el que todo el tráfico se enruta a través de un proxy. Como resultado, el dispositivo solo interactúa con los servidores proxy, que actúa como un “cliente” para el sitio web que los usuarios han solicitado.

Este servicio proxy basado en la web se ejecuta dentro de un dominio. El dominio está incluido en la lista blanca en “freebasics.com” en el que el operador pone a disposición el servicio de forma gratuita. Por ejemplo, “https://example.com” se reescribe como “https://https-example-com.0.freebasics.com”, que luego busca las páginas web en nombre del usuario y las envía a su dispositivo.

“Existe una amplia lógica del lado del servidor para garantizar que los enlaces y hrefs se transformen correctamente”, dijo la compañía. “Esta misma lógica ayuda a garantizar que incluso los sitios solo HTTP se muestren de forma segura a través de HTTPS. Estos se mostrarán en Free Basics entre el cliente y el proxy”.

Cookies

Además, las cookies utilizadas por los sitios web se almacenan de forma cifrada en el servidor. Esto para evitar que los navegadores móviles alcancen los límites de almacenamiento de cookies. La clave de cifrado (llamada clave de cookie de Internet o “ick”) se almacena en el cliente. Esto para que el contenido de la clave no se pueda leer sin conocer la clave del usuario.

“Cuando el cliente proporciona el ick, el servidor lo olvida en cada solicitud sin haber sido registrado”, señaló Facebook.

Pero permitir el contenido de JavaScript de sitios web de terceros también abre caminos para que los atacantes puedan inyectar código malicioso. Lo que es peor, incluso conducir a la fijación de sesión.

Para mitigar este ataque, Facebook Discover utiliza una etiqueta de autenticación (llamada “ickt”). Esta se deriva de la clave de cifrado y una segunda cookie de identificación del navegador (llamada “datr”), que se almacena en el cliente.

La etiqueta, que está incrustada en cada respuesta de proxy, se compara con el ‘ickt’ en el lado del cliente. Esto para verificar si hay signos de manipulación. Si hay una falta de coincidencia, las cookies se eliminan.

También hace uso de una “solución de dos frame” que integra el sitio de terceros dentro de un iframe que está asegurado por un frame externo. Este utiliza la etiqueta antes mencionada para garantizar la integridad del contenido.

Pero para los sitios web que deshabilitan la carga de la página en un frame para contrarrestar los ataques de clickjacking, Discover funciona eliminando ese encabezado de la respuesta HTTP. Empero, no antes de validar el frame interno.

Seguridad

Además, para evitar la suplantación del dominio Discover por los sitios de phishing, el servicio bloquea los intentos de navegación a dichos enlaces. Esto mediante el sandboxing del iframe, evitando así que ejecute códigos no confiables.

“Esta arquitectura ha sido sometida a importantes pruebas de seguridad internas y externas”, concluyó el equipo de ingeniería de Facebook.

“Creemos que hemos desarrollado un diseño que es lo suficientemente robusto como para resistir los tipos de ataques a aplicaciones web. Ataques muy comunes en el entorno y por ello podemos ofrecer de forma segura la conectividad que es sostenible para los operadores móviles”.



Categorías: androidfacebooknotihack

0 Comments

Deja un comentario