Un impresionante agujero de seguridad en Twitter hace que se puedan publicar mensajes como si fueran de otra persona en una cuenta ajena; el problema ya se conoce hace días pero en Twitter todavía no lo han podido corregir: el método es similar a cuando se suplanta la procedencia de mensajes SMS; de hecho se utiliza esa pasarela para «colar» los mensajes como textos válidos procedentes del propietario de la cuenta. Una posible solución de momento es bloquear el acceso desde dispositivos móviles (Twitter > Settings > Devices). Por otro lado conviene no fiarse de los mensajes de otras personas que aparezcan marcados como «from txt» si la persona normalmente publica «from web» o «from twitterrific» o cualquier otra aplicación.
Los hackers éticos de Security by Default hicieron una comprobación y demostración práctica del agujero en la cuenta de edans, una de las que más seguidores tiene en español, lo que le ha dado más visibilidad al problema. En su blog ya habían hablado hace semanas de otros agujeros de Twitter.
En otras noticias, las cuentas de Spotify también se vieron en problemas; en Security by Default también explicaron con más detalle el problema. La versión corta es que euienes abrieron en Spotify una cuenta para oir música antes del 20 de diciembre de 2008 deberían cambiar su contraseña.
Actualización: Ya han publicado una explicación completa del memorable hackeo. Una posible solución (porque no parece que se vaya a solucionar lo del spoofing de SMS en breve) es como hacen otros servicios requerir que el texto a publicar contenga una palabra a modo de contraseña que sólo conoce el propietario de la cuenta. Algunos sistemas de publicación de contenidos para blogs emplean esa técnica para permitir la publicación a partir de mensajes de correo entrantes (dado que falsificar la dirección del emisor de un envío de correo es casi trivial).
Suscribirse a:
Enviar comentarios (Atom)
Puede parecer muy petulante que auto-incluya en nuestra sección de 'Hackeos memorables' algo que hemos realizado nosotros, pero dada la repercusión que el asunto está tomando, me voy a permitir la licencia.
ResponderEliminarRecientemente se ha publicado que Twitter en su método de actualización basado en SMS es susceptible de ser 'spoofeado' enviando sms cuyo origen sea el numero de móvil que está asociado a la cuenta.
Lo del SMS Spoofing no es nada nuevo, ya escribimos tiempo atrás un premonitorio artículo sobre la fiabilidad de los SMS y los servicios basados en el numero de origen.
El caso es que una vez en conocimiento del ataque, me decidí a hacer pruebas, lo primero que me hacia falta era un servicio para enviar sms en el que pudiera editar a mi antojo el numero de origen, probé BromaSMS pero este servicio solo se puede emplear en números nacionales (el numero para postear en twitter es un +44 inglés) así que ese servicio no me era útil. Después de pensarlo un poco, recordé que la gente de lleida.net tienen un servicio que permite enviar SMS desde la web, una vez registrado me puse a probar en mi casi-abandonada cuenta Twitter.
Sorprendentemente los updates enviados desde el servicio de LLeida funcionaban, así que después de pensar en las posibilidades del bug, me vino a la cabeza la persona mas pro-twitter de España: Enrique Dans.
Solo me faltaba un detalle, conocer el teléfono que estaba asociado a la cuenta de Twitter. La búsqueda fue sencilla ya que Enrique publica como datos de contacto su teléfono móvil. En principio pensé que el numero ahí publicado solo seria algún tipo de móvil-filtro re-dirigido al verdadero, pero solo había una forma de salir de dudas: haciendo la prueba.