Vulnerabilidade na plataforma torna possível que outras pessoas postem tuites na conta das vítimas e, inclusive, modifiquem o perfil do usuário
Os usuários do Twitter que realizam postagens por meio de SMS podem estar em risco, afirmou o especialista em segurança, Jonathan Rudenberg, em seu blog.
Segundo ele, há uma vulnerabilidade de SMS no Twitter a qual permite que qualquer pessoa que tenha o número de telefone do usuário do microblog tuite no feed da vítima e utilize outros comandos que podem ser controlados por SMS. Para que seja afetada, o dono da conta comprometida deve ter necessariamente autorizado a postagem SMS.
Com isso em mãos, o atacante precisa apenas falsificar o seu número de celular real por meio da falha SMS e enviar as mensagens em nome do dono real da conta. Segundo Rudenberg, esse ataque é algo bem simples de ser feito. Além disso, também é possível modificar configurações da conta por meio de SMS.
"Como em e-mails, o endereço de origem do SMS não é confiável. Muitas portas SMS permitem que o endereço original de uma mensagem seja definido por um identificador arbitrário, incluindo o número de outra pessoa", disse Rudenberg.
Segundo o especialista, o Facebook também estaria vulnerável a essa mesma falha. Rudenberg tentou contato com ambas as redes sociais em agosto, a fim de informar a brecha. O Facebook respondeu na semana passada, afirmando que corrigiu o problema. Já o Twitter pediu para o especialista que as informações não fossem divulgadas publicamente até que a companhia pudesse resolver a questão, mas até o momento nada foi feito.
Ainda assim, sempre há maneiras de se prevenir. Rudenberg diz que o Twitter permite aos usuários configurar um PIN para SMS, a fim de que os tuites sejam postados apenas depois da confirmação desse código de segurança.
Sendo assim, se o atacante não souber o PIN, ele não conseguirá postar em nome da vítima, mesmo que tiver acesso ao seu número de telefone. Vale lembrar que a técnica não funciona para usuários dos Estados Unidos. Ainda assim, ainda não há indícios de que crackers estão explorando essa vulnerabilidade.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário