MIE, 11 / JUN / 2014

Falla de TweetDeck permite a hackers la ejecución remota de código

Hubo reportes sobre de la aparición de pop ups que recomendaban cerrar la app, o que activavan el botón de retweet en el cliente de la red social.

Una nueva vulnerabilidad descubierta en TweetDeck permite a los atacantes ejecutar código javascript de forma remota.

Numerososo usuarios reportaron durante el día de hoy la aparición de pop ups con mensajes como “Yo!” o “Please close now TweetDeck, it is not safe” (“Por favor cierre TweetDeck ahora, no es seguro”).

Como primera medida, Twitter canceló la disponibilidad de todas las versiones de la app hasta lograr un fix. Una vez solucionado el bug, la red social solicitó a todos los usuarios de la aplicación que se deslogueen y vuelvan a ingresar a TweetDeck para que el fix se ponga en funcionamiento.

En una primera instancia se pensaba que esta falla estaría relacionada solamente a la versión web del cliente, aunque algunos usuarios han reportado ataques similares en la app de TweetDeck para Windows.

Entre los ataques que se reportaron, además, se supo que este bug permitía acceso a la función de retweet de la app. De esta forma, se obtenía el equivalente a un “gusano” de Twitter, que “contagiaba” la vulnerabilidad de usuario a usuario.

 

 

Si bien hasta ahora solamente han sido simples mensajes en ventanas pop up, el riesgo existe y podría ser potencialmente más grave. Asimismo, vale decir que aquellos hackers que aprovechen el bug (gracias a la misma estructura de TweetDeck) solamente podrán “trabajar” dentro de los límites mismos de la app, sin comprometer nada más.

La falla se encuentra en el XSS (cross-site scripting), y según reporta The Verge, numerosas cuentas de Twitter sufrieron con este bug, entre las que se cuentan @NYTimesBusiness o @ScienceNews entre otras.

Via: TheVerge

¡Comparte esta noticia!