Blog de Tecnología e Internet

Vulnerabilidades en el cliente de Twitter para HTC

Peep, un cliente de Twitter que se encuentra en los smartphones de HTC, tiene una grabe vulnerabilididad. Según el blog de seguridad Taddong, donde una analista de seguridad expone la forma en la que un hacker podría hacerse con las credenciales de las cuentas de Twitter de este cliente.

El problema radica en la forma en la que la aplicación Peep se conecta a Twitter, así como la forma en que las peticiones http pueden ser manipuladas después de que el usuario ya estableciera la conexión con sus credenciales.

Hoy Taddong ha publicado una extensa entrada donde se pone de manifiesto que la aplicación envía datos sensible en texto claro, como el nombre de usuario y la contraseña.

La primera vulnerabilidad reside en la tercera petición de HTTP , una petición POST hacia “oauth/authorize”, que contiene varios parámetros incluyendo el nombre de usuario y la contraseña en texto claro, haciendo el proceso de autentificación vulnerable.

La segunda vulnerabilidad aparece después de establecer conexión entre la aplicación y Twitter, y de nuevo se muestra el usuario y su contraseña en la cabecera de autentificación. Taddong menciona que esto no debería de  suceder ya que la aplicación está diseñada para utilizar “OAuth”, una tecnología y el estándar abierto que permite a las apps conectar con los servicios como Twitter.

A las 11:00 de la mañana de hoy,  HTC ha anunciado que ya existe una actualización para el problema, pero ahora mismo los usuarios de HTC no la ven publicada, ni les aparece desde su terminal. Suponemos que estará visible en las próximas horas.

Vía Taddon Blog

Publicado en: Android, Hacking, HTC, SmartPhone, Twitter
Etiquetas:

Deja un comentario

Soy mayor de edad, He leído y acepto totalmente el Aviso Legal y la Política de Privacidad así como que el contenido de mi comentario sea público.

Información

Aviso legal y Política de Privacidad

Contenido publicado bajo licencia Creative Commons

Licencia de Creative Commons