Investigador: falla de Twitter le dio a aplicaciones de terceros acceso no autorizado a mensajes privados

Usuarios que se suscribieron a un tercero Las aplicaciones web o móviles que usan sus cuentas de Twitter podrían haber otorgado a esas aplicaciones acceso a sus mensajes privados "en Twitter" sin saberlo, según Cesar Cerrudo, director de tecnología de la firma de consultoría de seguridad IOActive.

El problema es el resultado de un defecto en la API de Twitter (interfaz de programación de aplicaciones) que llevó a los usuarios a no ser informados adecuadamente sobre los permisos que una aplicación tendrá en su poder una vez que se otorgó el acceso. Cerrudo describió el problema y explicó cómo lo descubrió en una publicación de blog publicada el martes.

Las aplicaciones que les permiten a los usuarios iniciar sesión con sus cuentas de Twitter deben estar registradas en Twitter en //dev.twitter.com/apps. Durante el registro, sus desarrolladores tienen que declarar el nivel de acceso que las aplicaciones tendrán en las cuentas de las personas: "solo lectura", "lectura y escritura" o "lectura, escritura y acceso a mensajes directos".

[Más información: cómo para eliminar el malware de su PC con Windows]

Cuando los usuarios intentan iniciar sesión en una aplicación por primera vez usando sus cuentas de Twitter, se les redirige a una página de autorización en el sitio web de Twitter que enumera los permisos solicitados por la aplicación en particular.

Cerrudo dijo que descubrió el problema mientras probaba una aplicación desarrollada por un amigo que tenía un permiso de "lectura, escritura y acceso a mensajes directos" declarado en Twitter.

Cuando se registró por primera vez en la aplicación con su Twitter cuenta, fue redirigido a una página de autorización que le informó que la aplicación podría leer tweets de su línea de tiempo, ver a qué usuarios sigue, seguir a nuevos usuarios en su nombre, actualizar su perfil inf ormación y publicación de tweets en su nombre, dijo. La página señaló claramente que la aplicación no podría acceder a los mensajes directos o la contraseña de la cuenta.

"Después de ver la página web mostrada, confié en que Twitter no le daría a la aplicación acceso a mi contraseña y mensajes directos", dijo. escribió en el blog. "Sentí que mi cuenta estaba segura, así que inicié sesión y jugué con la aplicación".

El investigador notó que la aplicación tenía funcionalidad para acceder y mostrar mensajes directos, pero la función no parecía estar funcionando. Esto tenía sentido porque no se le había pedido que otorgara ese permiso.

Sin embargo, después de iniciar sesión y salir de la aplicación y Twitter varias veces, sus mensajes directos comenzaron a aparecer en la aplicación. Al consultar la lista de aplicaciones autorizadas para interactuar con su cuenta de Twitter (Configuración> Aplicaciones) notó que la aplicación sí tenía permisos de lectura, escritura y acceso a los mensajes directos.

"Me di cuenta de que era una gran seguridad hoyo ", dijo Cerrudo.

El investigador confirmó el martes que reprodujo con éxito el comportamiento varias veces al revocar el acceso a la aplicación y volver a pasar por el proceso de autorización sin que se le advirtiera que la aplicación podría leer sus mensajes privados. El problema fue reportado a Twitter el 16 de enero y fue abordado en menos de 24 horas, dijo.

"Dijeron que el problema ocurrió debido a un código complejo y suposiciones y validaciones incorrectas", dijo Cerrudo en la publicación del blog.

Sin embargo, la solución de Twitter no parece aplicarse retroactivamente. Después de que Twitter resolvió el problema, la aplicación que Cerrudo estaba probando que ya tenía acceso a su cuenta continuó mostrando mensajes directos a pesar de que nunca recibió autorización de él para hacerlo, dijo.

Los usuarios de Twitter deberían verificar si alguna de las aplicaciones que autorizaron en el pasado también obtuvo acceso a sus mensajes directos sin su conocimiento, dijo Cerrudo. Esto se puede hacer revisando sus permisos en la página de Configuración de Twitter> Aplicaciones.

Cerrudo decidió hacer público este problema porque puede tener serias implicaciones y porque Twitter no emitió un aviso o anuncio público al respecto. La compañía debe mantener una página dedicada donde pueda informar a los usuarios sobre los problemas de seguridad, dijo.

Twitter no respondió de inmediato a una solicitud de comentarios.