Los investigadores hacen peor el ataque de Twitter

Los investigadores de seguridad informática han ideado un nuevo ataque de Twitter que dicen podría extenderse viralmente, como un gusano en el servicio de microblogging.

El ataque, publicado en línea el jueves por investigadores de Secure Science es una prueba inocua de concepto que obliga a los usuarios a enviar un mensaje de Twitter predeterminado, pero podría ser reutilizado para convertirlo en un gusano muy desagradable, dijo Lance James, científico en jefe de Secure Science.

"Puedes acoplar un ataque con nuestro código y eso haría llorar a Twitter", dijo.

[Más información: cómo eliminar el malware de su PC con Windows]

El ataque es similar a un ataque de clickjacking que estaba circulando en Twitter el mes pasado. Allí, los hackers utilizaron una técnica furtiva para engañar a los usuarios para que hagan clic en un enlace sin darse cuenta. Ese enlace publicaría el mensaje de Twitter diciendo "no haga clic" junto con una URL.

Esta vez, los investigadores de Secure Science encontraron una forma de aprovechar un error de programación web en el sitio de soporte de Twitter para publicar el mensaje no deseado. Después de un mensaje de advertencia, el código de prueba de Secure Science publica el mensaje: "@XSSExploits ¡Me acabo de pertenecer!" al perfil de la víctima.

Sin embargo, un usuario malicioso podría hacer mucho peor con este error, dijo James. El ataque podría modificarse para que no haya una pantalla de advertencia, y podría reforzarse con un mensaje sensacional que los usuarios harían más clic. Si se combinara con un código malicioso de ataque de navegador, podría usarse para tomar el control de las máquinas de las víctimas, dijo James.

"Estoy conteniendo la respiración con la esperanza de que nadie haga algo estúpido en este momento", dijo.

Twitter podría desactivar el ataque al arreglar el error de scripts cruzados que los investigadores de Secure Science están explotando, pero si apareciera otro error similar en el sitio, los usuarios se enfrentarían nuevamente con el mismo problema.

El problema se ve empeorado por el hecho de que debido al límite de 140 caracteres de Twitter, los usuarios de Twitter utilizan enlaces Web abreviados como Tinyurl.com y con frecuencia no tienen idea de si están haciendo clic en un enlace web confiable, dijo James.

Twitter las prácticas de seguridad han estado en el punto de mira últimamente ya que el servicio ha ganado popularidad. En enero, la compañía instituyó una revisión de seguridad completa después de que los hackers obtuvieron acceso a las cuentas del presidente electo Barack Obama, Fox News y CNN.

James dijo que espera que su demostración empuje a Twitter a hacer de la seguridad una prioridad.

"No queremos causar ningún daño a Twitter", dijo.