Es decir, si creamos una aplicación que tenga permisos sólo de lectura y escritura no debería acceder a los mensajes directos ¿verdad?
Pues no, Egor Homakov descubrió un bug en Twitter que permite a las aplicaciones enviar mensajes directos sin tener permisos específicos y sin que ni siquiera el usuario que tiene autorizada la aplicación se de cuenta.
Nosotros lo hemos comprobado mediante un cliente en Python con Tweepy. Fijaros que a priori esta aplicación no tiene permisos para enviar mensajes directos:
Pero sin embargo, si ejecutamos un script de prueba veremos el resultado confirmando la vulnerabilidad:
#!/usr/bin/env python import sys import tweepy CONSUMER_KEY = 'xxxxxxxxxxxxxxxxxxxxx'CONSUMER_SECRET = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'ACCESS_KEY = 'xxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'ACCESS_SECRET = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' auth = tweepy.OAuthHandler(CONSUMER_KEY, CONSUMER_SECRET)auth.set_access_token(ACCESS_KEY, ACCESS_SECRET)api = tweepy.API(auth) api.send_direct_message(screen_name= "hackplayers", text = "prueba")
Al parecer DaKnOb, otro investigador, comentó a Homakov que ya reportó a Twitter este supuesto bug, y que la compañía del pájaro le respondió alegando que era una característica de Twitter y que debería seguir como está... Pero ¿no es si no una oportunidad única para que las aplicaciones maliciosas puedan enviar spam y enlaces maliciosos?
Fuente: Twitter vulnerability lets apps send DMs without user permission
No hay comentarios:
Publicar un comentario