Twitter cerró parcialmente un hueco de seguridad que permite
que cualquiera publique actualizaciones en las cuentas de los usuarios a través
de SMS.
El investigador de seguridad Jonathan Rudenberg comunicó el
problema a Twitter en agosto de este año, el cual la red social confirmó poco
después de que se trataba de un problema ya conocido. Sin embargo, Twitter
supuestamente no corrigió el problema hasta que Rudenberg mencionó que se haría
público en noviembre.
La solución se aplica a los usuarios de Twitter con códigos
cortos de SMS, pero el exploit todavía existe en aquellas áreas que permiten
publicar a través códigos o números de teléfono largos.
Antes de la corrección, todos los usuarios de Twitter con
tuits SMS habilitado eran vulnerables al exploit.
Si un atacante conoce el número del dispositivo móvil que se
asoció con cierta cuenta de Twitter, los mensajes pueden ser enviados con un
número de origen falso, de acuerdo con Rudenberg.
Rudenberg mencionó que todos los comandos en los SMS de
Twitter pueden ser utilizados por un atacante. Esto incluye la habilidad de
tuitear como cualquier usuario y también cambiar la información del perfil.
El exploit funcionó porque muchas salidas SMS permitieron
direcciones de origen para establecerse en valores arbitrarios, tales como
números de teléfono de otras personas.
Señaló que Facebook y los pagos de los proveedores de
móviles Venmo también eran vulnerables al mismo ataque de suplantación. Ambos
han sido conectado desde los huecos.
Rudenberg recomendó que los usuarios de Twitter habiliten el
código PIN si está disponible; o desactivar completamente la función de
mensajería de texto móvil para Twitter.
http://www.seguridad.unam.mx/noticia/?noti=697
http://www.seguridad.unam.mx/noticia/?noti=697
No hay comentarios:
Publicar un comentario