lunes, 6 de enero de 2014

Un agujero de seguridad en Twitter permitía enviar mensajes directos sin permiso


Twitter permite enviar mensajes directos, que son tuits que solamente pueden ver el remitente y el destinatario, es decir son privados. En teoría, sólo se pueden recibir mensajes directos de otros miembros de la red social a los que el usuario sigue. Para enviarlos basta con especificar el nombre de usuario de la cuenta del destinatario. Un investigador de seguridad, Egor Homakov, descubrió una vulnerabilidad en Twitter que facilita que las aplicaciones envíen mensajes directos sin solicitar la autorización explícita del usuario. Basta con usar el comando “d twitter_username message” para que la aplicación pueda remitir un mensaje corto sin necesidad de verificar si el destinatario está o no de acuerdo.

Funciona con aplicaciones como Twitpic, entre otras. Este agujero de seguridad abría la puerta a todo tipo de abusos relacionados con el spam, los mensajes no solicitados. De hecho, el usuario que supuestamente los remite casi no se daría cuenta, salvo que uno de los destinatarios responda a ese mensaje o bien él decida revisar manualmente los mensajes directos enviados. Egor Homakov además apunta que ofrece excelentes oportunidades para el phishing, porque los mensajes directos remitidos por este procedimiento no indican si el origen está en un cliente oficial de Twitter o en una tercera parte.

De acuerdo con Egor Homakov, es una vulnerabilidad porque se supone que las aplicaciones para Twitter deben contar con un permiso para leer y escribir para poder acceder a los mensajes directos del usuario. Con el atajo que proporciona este agujero de seguridad pueden saltarse esa protección. Lo peor es que, según parece, Twitter conoce el fallo desde hace tiempo y todavía no ha decidido que merezca la pena solucionarlo. Otro investigador, DaKnOb, señala que encontró la vulnerabilidad hace un año y se lo comunicó a la compañía que, supuestamente, le contestó que no había nada que arreglar.

A mediados de octubre del año pasado , Twitter empezaba a probar cambios en las opciones de los mensajes directos. En concreto, respecto a la forma de manejarlos y al control de los enlaces enviados desde cuentas no verificadas. Esos cambios afectan a la seguridad y la intimidad de los usuarios. En primer lugar, el sitio de microblogs está probando una función que permite que cualquier seguidor envíe un mensaje directo al usuario, incluso aunque éste no le siga a él. Aquellos usuarios que tengan esa posibilidad activada deben asegurarse de dejar sin marcar esa opción de recibir mensajes directos de cualquier seguidor.

No hay comentarios:

Publicar un comentario en la entrada