Vulnerabilidad en Twitter y Facebook en envío recepción de actualizaciones vía SMS

Vulnerabilidad descubierta en Twitter y Facebook al activar el envío y la recepción de actualizaciones vía SMS

Jonathan Rudenberg, investigador de seguridad, descubrio que los usuarios de Twitter que tienen activada la opción de enviar o recibir actualizaciones vía SMS son vulnerables a un ataque y que cualquiera podría publicar cualquier cosa en su nombre. El atacante solo necesita saber el número de teléfono móvil asociado con la cuenta de Twitter, dato fácilmente averiguable si conocemos a la persona en cuestión. Nos cuenta que, como en el caso del email, el origen de una dirección de un mensaje SMS no puede ser verificada. Así que muchos gateways SMS permiten configurar la dirección origen del envío del mensaje con un identificador arbitrario, incluyendo el número de teléfono de cualquiera otra persona.

Pero este tema no afecta solo a Twitter. Facebook también tenía abierto este agujero de seguridad, aunque tras la notificación por parte del investigador lo han solucionado. Y además de Twitter, Venmo, otra red social muy conocida internacionalmente, también tiene el mismo problema.

El origen del problema llega cuando un usuario tiene un número de teléfono móvil asociado a su cuenta en las redes sociales mencionadas y no tienen un código PIN de acceso a la SIM, cosa que sucede en algunos países. De esta manera, cualquier atacante podría aprovecharse y utilizar cualquiera de los comandos SMS permitidos en Twitter, como postear en su nombre o modificar la información de perfil y la foto.

En el caso de Twitter, y mientras no elimine la posibilidad de publicar vía SMS sin usar códigos cortos, los usuarios pueden activar el código PIN (si está disponible en la región) o desactivar la posibilidad de envío de mensajes vía SMS. Twitter tiene una opción que permite establecer un tipo de código PIN requerido cada vez que se envía un mensaje, y que consiste en un código alfanumérico de cuatro códigos. El activar esta característica ayudaría sin duda a mitigar el problema, pero esta no está disponible en todos los países.

Las vulnerabilidades han sido reportadas tanto a Twitter como a Facebook o Venmo el pasado mes de agosto, pero solo Facebook ha confirmado haber solucionado el problema tres meses después de su reporte. Twitter, sin embargo, sigue sin responder, así que el investigador les ha informado de que iba a hacer pública la vulnerabilidad. Entendemos que ahora sí se pondrán manos a la obra (y esperamos que lo hagan).

Fuentes:

Laboratorio ontinet.com (Post Original)

Jonathan Rudenberg

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s