Es decir, si creamos una aplicación que tenga permisos sólo de lectura y escritura no debería acceder a los mensajes directos ¿verdad?
Pues no, Egor Homakov descubrió un bug en Twitter que permite a las aplicaciones enviar mensajes directos sin tener permisos específicos y sin que ni siquiera el usuario que tiene autorizada la aplicación se de cuenta.
Nosotros lo hemos comprobado mediante un cliente en Python con Tweepy. Fijaros que a priori esta aplicación no tiene permisos para enviar mensajes directos:
Pero sin embargo, si ejecutamos un script de prueba veremos el resultado confirmando la vulnerabilidad: #!/usr/bin/env pythonimport sysimport tweepyCONSUMER_KEY = 'xxxxxxxxxxxxxxxxxxxxx'CONSUMER_SECRET = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'ACCESS_KEY = 'xxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'ACCESS_SECRET = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'auth = tweepy.OAuthHandler(CONSUMER_KEY, CONSUMER_SECRET)auth.set_access_token(ACCESS_KEY, ACCESS_SECRET)api = tweepy.API(auth)api.send_direct_message(screen_name= "hackplayers", text = "prueba")
Al parecer DaKnOb, otro investigador, comentó a Homakov que ya reportó a Twitter este supuesto bug, y que la compañía del pájaro le respondió alegando que era una característica de Twitter y que debería seguir como está... Pero ¿no es si no una oportunidad única para que las aplicaciones maliciosas puedan enviar spam y enlaces maliciosos?
Fuente: Twitter vulnerability lets apps send DMs without user permission
View the original article here
This post was made using the Auto Blogging Software from WebMagnates.org This line will not appear when posts are made after activating the software to full version.
No hay comentarios:
Publicar un comentario