Un fallo de seguridad en la web de Twitter pone en riesgo a sus usuarios

por | 21 septiembre, 2010

 

Buenas

Algunos usuarios, aprovechando un fallo de seguridad del cliente Web de Twitter, están aprovechándolo para lo que parecía una broma al principio se convierta en algo mucho más serio. En estos momentos lo recomendable es NO USAR LA WEB DE TWITTER hasta que sus programadores corrijan el problema. El problema viene, y lo intento explicar para los profanos y por lo que he podido ver, a que en la Web de Twitter la acción que ocurre cuando alguien pasa el ratón por encima de una imagen, no se ha protegido debidamente, con lo que es posible “añadir” que se realicen más acciones que mostrar, por ejemplo, el nombre del usuario de twitter al que pertenece la imagen.

El código que se está utilizando en estos instantes para atacar a los usuarios de Twitter tiene este formato.

<url>#";onmouseover=javascript:<Código Javascript>;"/

Por ejemplo el que ponía los recuadros en negro

http://a.no/@"onmouseover=";$(‘textarea:first’).val(this.innerHTML);etc,etc

La vulnerabilidad está explotando un bug por el cual al pasar el ratón por encima del cliente Web de Twitter, es decir, la Web de Twitter, por uno de los tuits que contienen el código se ejecuta lo que el código Javascript indique. Esto es lo que llamamos XSS. ¿Alguien recuerda lo sucedido con la Web de la presidencia europea y Mr Bean ?

Ahora mismo puede ser desde la aparición de letras de tamaños enorme, cuadros rellenando el tl y demás. Pero hasta que no se solucione el código puede ser utilizado para HACER DAÑO.

Recomendaciones

1 NO USEN (de momento) www.twitter.com . Pueden usar http://mobile.twitter.com

2 Vayan pensando en usar un cliente (un programa para usar Twitter). Hay muchos Tweetdeck, Twhirl, Echofon para Firefox

3 Si ves que has lanzado tuits “raros”, con cuadrados negros o textos raros, si puedes elimínalos

4 Si algún amiguete ha lanzado esos tuits raros, avísale por un dm de lo que está sucediendo para que evite usar la Web

Por tanto la recomendación es NO USEN el Cliente Web de Twitter, puesto que el problema NO es tal en clientes como Tweetdeck, o Twhirl. Es la web la vulnerable. En todo caso puede ayudar desactivar Javascript

Para desactivar Javascript en Firefox

Herramientas->Opciones->Contenido->Desmarca Activar Javascript

Twitter está ofreciendo como alternativa a quien no esté utilizando un cliente para acceder a su servicio hacerlo a través del enlace http://mobile.twitter.com

Ah, permítanme una maldad. Es chocante que un blog sea el que tenga que contar lo que está pasando en Twitter

Iré actualizando el post.

 

5 pensamientos en “Un fallo de seguridad en la web de Twitter pone en riesgo a sus usuarios

  1. Alejandro

    Siempre nos quedarán los blogs! Ocurre en cualquier navegador, porque yo uso Chrome y he tenido que borrar dos tweets que han salido solos al pasar el ratón por encima.

    Responder
  2. mmadrigal Autor

    #1 Muy feo, y ni han usado el blog para explicar nada. Mal Twitter, muy mal
    #2 Cualquier navegador con javascript activado
    #3 Para muestra un botón

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.