Facebook está siendo
desde hace tiempo vigilado de cerca por los usuarios por los fallos de
privacidad que ha tenido, pero la mayor red social no es la única que
tiene estos fallos y otros servicios también sufren de estos. El último
en conocerse es Twitter, del cual conocemos un caso que publica TechCrunch en el que una aplicación puede tener acceso a los mensajes directos del usuario aun cuando se indica explícitamente que esto no sucederá.
Cuando damos acceso a un servicio a nuestra cuenta mediante OAuth
se nos dice muy claramente lo que podrá y no podrá hacer dicho servicio
con nuestra cuenta, dependiendo de la configuración que dé el
desarrollador a la aplicación podrá no tener acceso a los mensajes
privados, sin embargo hay casos en los que el desarrollador considera
que no es necesario tener acceso a estos, así se informa al usuario,
pero después la aplicación puede acceder a los datos mensajes directos.
El desarrollador Simon Colijn se puso en contacto con TechCrunch para hacerles llegar esta información y sensibilizar a la gente sobre este hecho.
Para demostrar esta información Simon Colijn ha creado esta aplicación,
la cual al pedir tener conexión con nuestra cuenta se indica claramente
que no tendrá acceso a nuestros mensajes privados. Pero el contrario de
esto, vemos que cuando se ha hecho la conexión se pueden listar tanto los mensajes que hemos enviado como los que hemos recibido.
En la creación de la aplicación este desarrollador indicó que la
aplicación tendría acceso de lectura, sin acceso a los mensajes
directos. De ese modo, cuando el usuario da autorización a la aplicación
se le muestra que no tendrá acceso a los mensajes privados —como vemos
en la imagen que acompaña a este texto— pero el resultado es
completamente diferente. Es decir, el usuario cree que la aplicación no
tendrá acceso a los mensajes directos, pero vemos como con esta vulnerabilidad si tienen acceso.
Según creen varios desarrolladores lo que puede haber pasado es que Twitter
realizó recientemente una actualización de estas pantallas de
autorización, la cual vendría junto con otros modelos de acceso a datos
más restrictivo, pero esto último se aplazó y como resultado la
información que está recibiendo el usuario en estas pantallas es
errónea. Esta vulnerabilidad ha sido verificada por otros
desarrolladores, los cuales en tan solo unos minutos han podido
modificar sus aplicaciones pudiendo explotar esta vulnerabilidad. Así
que tengan cuidado y piénsalo dos veces antes de autorizar aplicaciones
en su cuenta de Twitter ya que desarrolladores malintencionados podrían
usar esta vulnerabilidad para acceder a los mensajes privados de los
usuarios.
Twitter ha sido contactada e informada sobre este
fallo de privacidad, pero por el momento no han dado ningún tipo de
respuesta. Cabe esperar que esta no se produzca hasta que el problema
sea solucionado, mientras tanto, sean cuidadosos con las aplicaciones a
las que dan acceso.
Autor: David Rubia
Fuente: Alt1040

No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!