El secuestro de cuentas de Twitter fue posible por error en 3.200 aplicaciones móviles

Investigadores de seguridad han descubierto una falla de desarrollador en más de 3200 aplicaciones móviles que permite el secuestro total o parcial de cuentas de Twitter. En los peores ejemplos, afectando a unas 320 aplicaciones, permite a un atacante tomar el control total de una cuenta de Twitter… Esto le permitiría realizar todas las acciones siguientes:

  • leer mensajes directos
  • retuitear
  • Como
  • Extinguir
  • eliminar seguidores
  • Seguir cualquier cuenta
  • Obtener configuración de la cuenta
  • Cambiar imagen de visualización

La buena noticia es que las cuentas que pueden ser secuestradas son las del desarrollador de la aplicación y no las del usuario, pero la compañía de ciberseguridad dice que esto representa una amenaza para un ejército de bots que a menudo usa cuentas de Twitter verificadas y de alto perfil. Propagación usa desinformación.

El ejército de bots de Twitter que estamos tratando de crear puede librar cualquier guerra por ti. Pero quizás la más peligrosa sea la guerra de desinformación en Internet, alimentada por bots. Time Berners-Lee, el padre fundador de Internet, dijo que es muy fácil difundir información errónea porque la mayoría de las personas obtienen sus noticias de un pequeño grupo de sitios de redes sociales y motores de búsqueda que ganan dinero cuando las personas hacen clic en los enlaces. Los algoritmos de estos sitios a menudo priorizan el contenido en función de lo que es probable que las personas interactúen, lo que significa que las noticias falsas pueden «propagarse como un reguero de pólvora».

Otro riesgo son las cuentas utilizadas para promover estafas, como las criptomonedas que prevalecen en Twitter. Otra razón es la posible divulgación de información confidencial por parte de los atacantes que obtienen acceso a los mensajes directos. Bleeping Computer explica cómo surgió el problema.

Al integrar aplicaciones móviles con Twitter, los desarrolladores reciben claves de autenticación especiales, o tokens, que permiten que sus aplicaciones móviles interactúen con la API de Twitter. Cuando un usuario vincula su cuenta de Twitter a esta aplicación móvil, las claves también permiten que la aplicación actúe en nombre del usuario, p. B. registrarlo a través de Twitter, crear tweets, enviar mensajes directos, etc. Dado que tener acceso a estas claves de autenticación podría permitir que cualquier persona realice acciones como un usuario de Twitter conectado, nunca se recomienda almacenar las claves directamente en una aplicación móvil donde los atacantes puedo encontrar. CloudSEK explica que la filtración de claves API a menudo es el resultado de errores cometidos por desarrolladores de aplicaciones que incrustan sus claves de autenticación en la API de Twitter pero se olvidan de eliminarlas cuando se lanza el teléfono.

Las aplicaciones afectadas incluyen algunas extremadamente populares con millones de usuarios. Los nombres de las aplicaciones no se revelaron ya que la mayoría de los desarrolladores aún no han solucionado el problema un mes después de que CloudSEK emitiera la advertencia. Se nombró una aplicación, Ford Events, porque Ford Motor Company actualizó la aplicación para eliminar las credenciales. Foto: Joshua Hoehne/Unsplash FTC: Utilizamos enlaces de afiliados de automóviles que generan ingresos. Más.


Visite 9to5Mac en YouTube para obtener más noticias de Apple:

Deja una respuesta

Tu dirección de correo electrónico no será publicada.