Filtradas las claves cliente de las aplicaciones oficiales de Twitter

Las claves OAuth (consumer key y consumer secret) del propio Twitter han sido publicadas esta mañana en Github. Las claves filtradas son las de la aplicación oficial para iPhone, Android, iPad, Mac, Windows Phone y TweetDeck, por lo que cualquier aplicación de terceros o script malicioso podría utilizar estas claves para "hacerse pasar" por una de estas aplicaciones oficiales y así poder leer, escribir tweets e incluso enviar mensajes directos (imaginaros las restricciones que puede poner Twitter a sus propias aplicaciones).

De momento se desconoce cual será la reacción de Twitter. Lo más evidente sería resetear su API y claves, si bien afectaría a versiones antiguas y podrían volverse a filtrar las claves, puesto que el problema raíz parece estar en el propio funcionamiento de OAuth y el secreto del cliente, que ha de ser transmitido al servidor y técnicamente parece imposible de ocultar localmente.

Tampoco parece factible la implementación inmediata de un cambio dinámico de claves en el cliente y/o una heurística efectiva para que Twitter reconozca eficientemente sus propias aplicaciones. Otras opciones podrían ser hacer más flexibles las restricciones sobre las aplicaciones de terceros o quitar completamente el acceso de terceros a su API (demasiado radical). Sea cual sea, pronto lo veremos...


Fuentes:
Twitter OAuth API Keys Leaked  
Twitter’s API keys and secrets for its official apps surface; what should we do with them? Foro Hacker News

Comentarios