Primavera agitada para Twitter

Al parecer la red de microblogging mas popular enfrenta una batalla que suena repetida y asegura una semana agitada para los especialistas. Así es, otra falla de seguridad obliga a los usuarios de Twitter a prestar especial atención y tomar medidas preventivas hasta tanto el sitio resuelva el problema.

Luego de que se conociera a principios de septiembre una importante falla en Twitter que permitía robar las credenciales de autenticación de los usuario mediante un vínculo que explota una falla de XSS (cross-site scripting), los problemas regresan para festejar el equinoccio.

Y es que la falla hace que al utilizar Twitter vía web, lleguemos a ver en nuestro timeline manchas de colores y letras gigantes. Esto se debe a una vulnerabilidad en Twitter mediante la cual al pasar el puntero del mouse por encima (onmouseover) de un tweet especialmente armado, se lanza un script que hace que por ejemplo, el vínculo malicioso se retwittee a todos los contactos. También podría resultar que un usuario que visita un perfil se le abra una ventana emergente (pop-up), lo cual podría permitir a un atacante dirigir al usuario a un sitio con contenido malicioso.

Cabe aclarar que la naturaleza de difusión viral de esta falla no la transforma en un virus, sino que no deja de ser un clásico error de XSS, semejante en este caso al comportamiento de un gusano, dado que puede prescindir prácticamente de la interacción del usuario para su propagación.

Las recomendaciones son elementales: evitar el uso de Twitter desde clientes vulnerables y desde el sitio web oficial, desactivar javascripts, o utilizar algún bloqueador de scripts como el famoso plugin para Firefox: NoScript.

Actualización 21/09/2010 21:00hs.: Twitter limitó en principio el fallo restringiendo la interpretación de las URLs malformadas, pero no ha corregido el problema del XSS en sí.

Actualización 23/09/2010 09:00hs.: Para más información, hemos realizado una FAQ sobre la vulnerabilidad en Twitter.

Federico Pacheco
Education & Research Manager

Autor , ESET

Síguenos