10 junio 2011

Un fallo de Twitter permite a las aplicaciones de terceros tener acceso a los mensajes directos


Twitter, del cual conocemos un caso que publica TechCrunch en el que una aplicación puede tener acceso a los mensajes directos del usuario aun cuando se indica explícitamente que esto no sucederá.

Cuando damos acceso a un servicio a nuestra cuenta mediante OAuth se nos dice muy claramente lo que podrá y no podrá hacer dicho servicio con nuestra cuenta, dependiendo de la configuración que dé el desarrollador a la aplicación podrá no tener acceso a los mensajes privados, sin embargo hay casos en los que el desarrollador considera que no es necesario tener acceso a estos, así se informa al usuario, pero después la aplicación puede acceder a los datos mensajes directos. El desarrollador Simon Colijn se puso en contacto con TechCrunch para hacerles llegar esta información y sensibilizar a la gente sobre este hecho.


Para demostrar esta información Simon Colijn ha creado esta aplicación, la cual al pedir tener conexión con nuestra cuenta se indica claramente que no tendrá acceso a nuestros mensajes privados. Pero el contrario de esto, vemos que cuando se ha hecho la conexión se pueden listar tanto los mensajes que hemos enviado como los que hemos recibido.


En la creación de la aplicación este desarrollador indicó que la aplicación tendría acceso de lectura, sin acceso a los mensajes directos. De ese modo, cuando el usuario da autorización a la aplicación se le muestra que no tendrá acceso a los mensajes privados —como vemos en la imagen que acompaña a este texto— pero el resultado es completamente diferente. Es decir, el usuario cree que la aplicación no tendrá acceso a los mensajes directos, pero vemos como con estavulnerabilidad si tienen acceso.

Según creen varios desarrolladores lo que puede haber pasado es que Twitterrealizó recientemente una actualización de estas pantallas de autorización, la cual vendría junto con otros modelos de acceso a datos más restrictivo, pero esto último se aplazó y como resultado la información que está recibiendo el usuario en estas pantallas es errónea. Esta vulnerabilidad ha sido verificada por otros desarrolladores, los cuales en tan solo unos minutos han podido modificar sus aplicaciones pudiendo explotar esta vulnerabilidad. Así que tengan cuidado y piénsalo dos veces antes de autorizar aplicaciones en su cuenta de Twitter ya que desarrolladores malintencionados podrían usar esta vulnerabilidad para acceder a los mensajes privados de los usuarios.

Twitter ha sido contactada e informada sobre este fallo de privacidad, pero por el momento no han dado ningún tipo de respuesta. Cabe esperar que esta no se produzca hasta que el problema sea solucionado, mientras tanto, sean cuidadosos con las aplicaciones a las que dan acceso.