Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
diciembre
(Total:
25
)
- Serivicio Alertas de Google
- 800 bares emitían fútbol pirata con descodificador...
- Actualizaciones de Seguridad para Internet Explore...
- Routers ADSL Livebox de España revelan SSID y cont...
- Dos detenidos por usar Drones que provocaron cierr...
- Usuario pidió los datos de su actividad a Amazon y...
- Fallo App Metrovalencia deja al descubierto los da...
- Nuevas vulnerabilidades procesadores Intel
- Microsoft Windows Sandbox, ejecuta aplicaciones de...
- Error en Twitter permitía apps de terceros leer tu...
- Actualizaciones críticas para SQLite, PhpMyAdmin y...
- Fotos privadas de 6,8 millones de usuarios de Face...
- La9 de Anonymous hackea la página web de Vox
- Autor del DDoS a ProtonMail condenado a 3 años en ...
- Segundo agujero de seguridad en Google+ expone dat...
- 415.000 routers MikoTik secuestrados para minar cr...
- Un niño de 7 años es la estrella de YouTube, el qu...
- Importante agujero de seguridad encontrado en Kube...
- El FBI creó un sitio web falso de FeDex para desen...
- Envío no solicitado de fotografías de penes en iPh...
- 100 millones de cuentas hackeadas de Quora
- Policía consigue parar un Tesla en piloto automáti...
- Hoteles Marriott sufre una filtración de datos con...
- Últimos tests de Firefox para implementar DNS-over...
- Red Hat Academy se integra en la Universidad de Sa...
-
▼
diciembre
(Total:
25
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Error en Twitter permitía apps de terceros leer tus mensajes directos
martes, 18 de diciembre de 2018
|
Publicado por
el-brujo
|
Editar entrada
Un
fallo de seguridad en la plataforma de Twitter OAuth estaba permitiendo a
aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso. La vulnerabilidad fue detectada y reportada por el investigador de
seguridad, Terence Eden, quien ha recibido una recompensa Bug Bounty de
Twitter de cerca de 3.000 dólares
Los mensajes directos de Twitter son una función de la red social mediante la cual podemos comunicarnos con otros usuarios u otras personas en privado, sin que los mensajes aparezcan en nuestra línea de tiempo. Los mensajes directos suelen usarse, además de para hablar en privado con otras personas, para compartir información privada o sensible con empresas para solucionar posibles problemas con ellas, y toda esta información se ha visto comprometida recientemente por un nuevo fallo de seguridad oculto en esta red social.
Este mismo fin de semana se daba a conocer un fallo de seguridad en la plataforma de Twitter que estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso a ellos.
Este fallo de seguridad se encontraba en que algunas apps no utilizaban el sistema de tokens OAuth para completar la autenticación, sino que hacían uso de un código PIN para completar la autenticación y conectarse a la plataforma.
Los responsables de Twitter han implementado recientemente algunas medidas de seguridad en su plataforma para reforzar la seguridad de cara a las apps de terceros que tienen acceso a la API. Sin embargo, aunque la autenticación OAuth es la estándar, algunas apps no la soportan, por lo que existe un método de autenticación alternativo basado en un PIN para acceder a la API.
Las claves API oficiales de Twitter filtraron y están en uso en varias aplicaciones populares.
Las teclas del iPhone y las teclas de Google TV (como se ve en https://gist.github.com/shobotch/5160017) presentan una pantalla OAuth que dice que la aplicación "No podrá: Acceder a sus mensajes directos".
El fallo en sí se origina en que muchas apps no son compatibles con las restricciones de OAuth de la API, por lo que aunque se especificara en el login que una app no tenía acceso a los mensajes directos, en realidad utilizaba sistemas alternativos para saltarse todas las restricciones, incluso la del número de usuarios, pudiendo tener acceso absoluto a todos los apartados de la red social.
Podemos ver una descripción más detallada de este fallo de seguridad, así como una prueba de concepto de la vulnerabilidad, en el siguiente enlace:
Los responsables de la seguridad de Twitter han confirmado que ya han solucionado este fallo de seguridad, por lo que las aplicaciones no podrán acceder sin el correspondiente permiso a los mensajes directos de los usuarios. Además, aseguran que no hay indicios de que nadie se haya aprovechado de este fallo de seguridad.
Twitter no cree que nadie haya sido engañado por los permisos que tenían estas aplicaciones o que el Twitter para el iPhone o Twitter para las aplicaciones de TV de Google accedieron a sus datos involuntariamente, ya que esas aplicaciones utilizan otros flujos de autenticación. Por lo que saben, no hubo una violación de la información de nadie debido a este problema. No hay acciones que las personas deban tomar en este momento.
Fuente:
https://www.redeszone.net/2018/12/17/twitter-terceros-leer-mensajes-directos/
Los mensajes directos de Twitter son una función de la red social mediante la cual podemos comunicarnos con otros usuarios u otras personas en privado, sin que los mensajes aparezcan en nuestra línea de tiempo. Los mensajes directos suelen usarse, además de para hablar en privado con otras personas, para compartir información privada o sensible con empresas para solucionar posibles problemas con ellas, y toda esta información se ha visto comprometida recientemente por un nuevo fallo de seguridad oculto en esta red social.
Este mismo fin de semana se daba a conocer un fallo de seguridad en la plataforma de Twitter que estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso a ellos.
Este fallo de seguridad se encontraba en que algunas apps no utilizaban el sistema de tokens OAuth para completar la autenticación, sino que hacían uso de un código PIN para completar la autenticación y conectarse a la plataforma.
Los responsables de Twitter han implementado recientemente algunas medidas de seguridad en su plataforma para reforzar la seguridad de cara a las apps de terceros que tienen acceso a la API. Sin embargo, aunque la autenticación OAuth es la estándar, algunas apps no la soportan, por lo que existe un método de autenticación alternativo basado en un PIN para acceder a la API.
Las claves API oficiales de Twitter filtraron y están en uso en varias aplicaciones populares.
Las teclas del iPhone y las teclas de Google TV (como se ve en https://gist.github.com/shobotch/5160017) presentan una pantalla OAuth que dice que la aplicación "No podrá: Acceder a sus mensajes directos".
El fallo en sí se origina en que muchas apps no son compatibles con las restricciones de OAuth de la API, por lo que aunque se especificara en el login que una app no tenía acceso a los mensajes directos, en realidad utilizaba sistemas alternativos para saltarse todas las restricciones, incluso la del número de usuarios, pudiendo tener acceso absoluto a todos los apartados de la red social.
Podemos ver una descripción más detallada de este fallo de seguridad, así como una prueba de concepto de la vulnerabilidad, en el siguiente enlace:
Los responsables de la seguridad de Twitter han confirmado que ya han solucionado este fallo de seguridad, por lo que las aplicaciones no podrán acceder sin el correspondiente permiso a los mensajes directos de los usuarios. Además, aseguran que no hay indicios de que nadie se haya aprovechado de este fallo de seguridad.
Twitter no cree que nadie haya sido engañado por los permisos que tenían estas aplicaciones o que el Twitter para el iPhone o Twitter para las aplicaciones de TV de Google accedieron a sus datos involuntariamente, ya que esas aplicaciones utilizan otros flujos de autenticación. Por lo que saben, no hubo una violación de la información de nadie debido a este problema. No hay acciones que las personas deban tomar en este momento.
Fuente:
https://www.redeszone.net/2018/12/17/twitter-terceros-leer-mensajes-directos/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.