Los mensajes directos de Twitter son una función de la red social mediante la cual podemos comunicarnos con otros usuarios u otras personas en privado, sin que los mensajes aparezcan en nuestra línea de tiempo. Los mensajes directos suelen usarse, además de para hablar en privado con otras personas, para compartir información privada o sensible con empresas para solucionar posibles problemas con ellas, y toda esta información se ha visto comprometida recientemente por un nuevo fallo de seguridad oculto en esta red social.
Este mismo fin de semana se daba a conocer un fallo de seguridad en la plataforma de Twitter que estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso a ellos.
Este fallo de seguridad se encontraba en que algunas apps no utilizaban el sistema de tokens OAuth para completar la autenticación, sino que hacían uso de un código PIN para completar la autenticación y conectarse a la plataforma.
Los responsables de Twitter han implementado recientemente algunas medidas de seguridad en su plataforma para reforzar la seguridad de cara a las apps de terceros que tienen acceso a la API. Sin embargo, aunque la autenticación OAuth es la estándar, algunas apps no la soportan, por lo que existe un método de autenticación alternativo basado en un PIN para acceder a la API.
Las claves API oficiales de Twitter filtraron y están en uso en varias aplicaciones populares.
Las teclas del iPhone y las teclas de Google TV (como se ve en https://gist.github.com/shobotch/5160017) presentan una pantalla OAuth que dice que la aplicación "No podrá: Acceder a sus mensajes directos".
El fallo en sí se origina en que muchas apps no son compatibles con las restricciones de OAuth de la API, por lo que aunque se especificara en el login que una app no tenía acceso a los mensajes directos, en realidad utilizaba sistemas alternativos para saltarse todas las restricciones, incluso la del número de usuarios, pudiendo tener acceso absoluto a todos los apartados de la red social.
Podemos ver una descripción más detallada de este fallo de seguridad, así como una prueba de concepto de la vulnerabilidad, en el siguiente enlace:
Los responsables de la seguridad de Twitter han confirmado que ya han solucionado este fallo de seguridad, por lo que las aplicaciones no podrán acceder sin el correspondiente permiso a los mensajes directos de los usuarios. Además, aseguran que no hay indicios de que nadie se haya aprovechado de este fallo de seguridad.
Twitter no cree que nadie haya sido engañado por los permisos que tenían estas aplicaciones o que el Twitter para el iPhone o Twitter para las aplicaciones de TV de Google accedieron a sus datos involuntariamente, ya que esas aplicaciones utilizan otros flujos de autenticación. Por lo que saben, no hubo una violación de la información de nadie debido a este problema. No hay acciones que las personas deban tomar en este momento.
Fuente:
https://www.redeszone.net/2018/12/17/twitter-terceros-leer-mensajes-directos/
No hay comentarios:
Publicar un comentario