Detectada nueva vulnerabilidad XSS en Twitter

Las redes sociales y los nuevos servicios de la llamada web 2.0 están convirtiéndose en uno de los vectores de ataque más importantes empleados por los creadores de malware. Prueba de ello son los constantes ataques realizados a redes como Facebook, normalmente en forma de aplicaciones que el usuario instala de forma inocente y que se dedican a robar información sensible, o enlaces publicados, sin conocimiento de los usuarios, en sus muros y que descargan códigos maliciosos en los sistemas de todo aquel que los pulse. Los enlaces, especialmente los que han sido acortados, son también uno de los problemas de Twitter, debido a que mucha gente pulsa sobre ellos sin revisarlos previamente tan solo porque provienen de usuarios conocidos (y a veces, ni siquiera eso).

Así las cosas, el descubrimiento de vulnerabilidades o fallos en el diseño de aplicaciones como Twitter o Facebook tiene un gran valor, puesto que la gran cantidad de usuarios que usan estas aplicaciones las hacen ideales para propagar malware y obtener un buen número de víctimas. Una de estas vulnerabilidades fue descubierta y notificada el pasado 29 de Julio pero aun no se ha implementado una solución que la corrija, pudiéndose realizar ataques que se aprovechen de la misma, tal y como ha demostrado el investigador Mike Bailey generando una prueba de concepto.

Según ha demostrado Bailey, un usuario con sesión iniciada en Twitter puede ser forzado a publicar un mensaje malicioso cuando se visita una web preparada especialmente para aprovechar esta vulnerabilidad. En esta prueba de concepto se aprovecha la vulnerabilidad para secuestrar la cookie de inicio de sesión de la víctima y esta se usa para publicar un tweet en beneficio propio, pero también se podrían realizar otras acciones maliciosas. Es importante destacar que, aunque en la prueba de concepto preparada por Bailey es necesario pulsar un botón, en realidad no se requiere pulsar sobre ningún enlace ya que el ataque se puede realizar de forma transparente para el usuario.

Un ejemplo de aprovechamiento de esta vulnerabilidad por parte de los creadores de malware sería la aparición de un gusano que se propagase de forma masiva entre los usuarios de Twitter, donde todos los usuarios infectados publicasen un tweet con un enlace a una web maliciosa preparada para aprovecharse de esta vulnerabilidad. De esta forma, el número de usuarios afectados crecería exponencialmente y se podrían propagar todo tipo de códigos maliciosos desde esa web modificada.

Desde el laboratorio de ESET en Ontinet.com recomendamos ser cautos a la hora de pulsar sobre enlaces desconocidos proporcionados a través de Twitter o cualquier otro canal. Especialmente peligrosos son los enlaces acortados porque nunca sabemos a donde nos llevan hasta que ya estamos en la web destino. Por eso, es aconsejable utilizar servicios de alargamiento de url para conocer, al menos, el dominio donde se ubica la web a visitar. De esta forma, y tras analizar detenidamente la dirección web a visitar, podremos descartar aquellas que nos resulten sospechosas.

Josep Albors

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..