Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Error en Twitter permitía apps de terceros leer tus mensajes directos




Un fallo de seguridad en la plataforma de Twitter OAuth estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso. La vulnerabilidad fue detectada y reportada por el investigador de seguridad, Terence Eden, quien ha recibido una recompensa Bug Bounty de Twitter de cerca de 3.000 dólares







Los mensajes directos de Twitter son una función de la red social mediante la cual podemos comunicarnos con otros usuarios u otras personas en privado, sin que los mensajes aparezcan en nuestra línea de tiempo. Los mensajes directos suelen usarse, además de para hablar en privado con otras personas, para compartir información privada o sensible con empresas para solucionar posibles problemas con ellas, y toda esta información se ha visto comprometida recientemente por un nuevo fallo de seguridad oculto en esta red social.

Este mismo fin de semana se daba a conocer un fallo de seguridad en la plataforma de Twitter que estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso a ellos.

Este fallo de seguridad se encontraba en que algunas apps no utilizaban el sistema de tokens OAuth para completar la autenticación, sino que hacían uso de un código PIN para completar la autenticación y conectarse a la plataforma.

Los responsables de Twitter han implementado recientemente algunas medidas de seguridad en su plataforma para reforzar la seguridad de cara a las apps de terceros que tienen acceso a la API. Sin embargo, aunque la autenticación OAuth es la estándar, algunas apps no la soportan, por lo que existe un método de autenticación alternativo basado en un PIN para acceder a la API.


Las claves API oficiales de Twitter filtraron y están en uso en varias aplicaciones populares.
Las teclas del iPhone y las teclas de Google TV (como se ve en https://gist.github.com/shobotch/5160017) presentan una pantalla OAuth que dice que la aplicación "No podrá: Acceder a sus mensajes directos".


El fallo en sí se origina en que muchas apps no son compatibles con las restricciones de OAuth de la API, por lo que aunque se especificara en el login que una app no tenía acceso a los mensajes directos, en realidad utilizaba sistemas alternativos para saltarse todas las restricciones, incluso la del número de usuarios, pudiendo tener acceso absoluto a todos los apartados de la red social.
Podemos ver una descripción más detallada de este fallo de seguridad, así como una prueba de concepto de la vulnerabilidad, en el siguiente enlace:


Los responsables de la seguridad de Twitter han confirmado que ya han solucionado este fallo de seguridad, por lo que las aplicaciones no podrán acceder sin el correspondiente permiso a los mensajes directos de los usuarios. Además, aseguran que no hay indicios de que nadie se haya aprovechado de este fallo de seguridad.


Twitter no cree que nadie haya sido engañado por los permisos que tenían estas aplicaciones o que el Twitter para el iPhone o Twitter para las aplicaciones de TV de Google accedieron a sus datos involuntariamente, ya que esas aplicaciones utilizan otros flujos de autenticación. Por lo que saben, no hubo una violación de la información de nadie debido a este problema. No hay acciones que las personas deban tomar en este momento.

Fuente:
https://www.redeszone.net/2018/12/17/twitter-terceros-leer-mensajes-directos/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.