Muchos de vosotros conoceréis TweetDeck, el famoso cliente de Twitter multiplataforma. Este cliente se puede manejar desde el navegador y también desde la aplicación para varios sistemas operativos, tanto de escritorio como de móvil. Pero hoy vamos a hablar de un problema de seguridad que encontramos en su versión para Chrome aunque también se están reportando ciertos problemas en la aplicación para Windows.
¿Qué es lo que hace esta vulnerabilidad?, permiten la ejecución de código a terceras personas (nosotros mismos u otras personas). Por ahora sólo han sido casos de ventanas emergentes con frases del tipo “Yo!” o “”Please close now TweetDeck [sic], it is not safe”. ¿Os ha pasado?
Twitter ha confirmado que esta vulnerabilidad está ya sellada y los cambios se aplicarán una vez nos desconectemos y nos volvamos a conectar en TweetDeck.
<script class=”xss”>$(‘.xss’).parents().eq(1).find(‘a’).eq(1).click();$(‘[data-action=retweet]‘).click();alert(‘XSS in Tweetdeck’)</script>♥
— Paleo Demystified (@allaboutpaleo) June 11, 2014
Ya hubo este problema en 2011 cuando salió a la luz esta vulnerabilidad. Pero tras múltiples quejas por los usuarios, esta vulnerabilidad fue sellada por los desarrolladores al siguiente día. Aún se desconoce como han podido volver a hacer funcionar este bug pero lo que sí sabemos es que el problema está resuelto.
Cuando el código de la aplicación carece de ciertas protecciones, permiten a los propios usuarios y también a otras personas que puedan acceder a nuestro ordenador, ejecutar código javascript propio. Como ya dijimos, actualmente sólo se están reportando problemas con ventanas emergentes con frases y esperemos que sólo se quede en esto. A un hacker le das un dedo y te coge el brazo.
Fuente | The Verge
El artículo Una vulnerabilidad en TweetDeck provoca el caos en Twitter se publicó en El Androide Libre (El Blog Android de referencia. Aplicaciones, noticias, Juegos y smartphones Android Libres)
Continúar leyendo...