Filtradas las claves cliente de las aplicaciones oficiales de Twitter.

Twitter Pwnd

Las claves OAuth (consumer key y consumer secret) del propio Twitter han sido publicadas esta mañana en Github. Las claves filtradas son las de la aplicación oficial para iPhone, Android, iPad, Mac, Windows Phone y TweetDeck, por lo que cualquier aplicación de terceros o script malicioso podría utilizar estas claves para “hacerse pasar” por una de estas aplicaciones oficiales y así poder leer, escribir tweets e incluso enviar mensajes directos (imaginaros las restricciones que puede poner Twitter a sus propias aplicaciones).

De momento se desconoce cual será la reacción de Twitter. Lo más evidente sería resetear su API y claves, si bien afectaría a versiones antiguas y podrían volverse a filtrar las claves, puesto que el problema raíz parece estar en el propio funcionamiento de OAuth y el secreto del cliente, que ha de ser transmitido al servidor y técnicamente parece imposible de ocultar localmente.

Tampoco parece factible la implementación inmediata de un cambio dinámico de claves en el cliente y/o una heurística efectiva para que Twitter reconozca eficientemente sus propias aplicaciones. Otras opciones podrían ser hacer más flexibles las restricciones sobre las aplicaciones de terceros o quitar completamente el acceso de terceros a su API (demasiado radical). Sea cual sea, pronto lo veremos…

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

marzo 8, 2013 By dylan Noticias 1 Comment

Filtradas las claves cliente de las aplicaciones oficiales de Twitter.

Acerca de Mi Dylan Irzi

One thought on “Filtradas las claves cliente de las aplicaciones oficiales de Twitter.”