El día de hoy se ha descubierto una falla de seguridad en TweetDeck, la cual permite ejecutar código Javascript de forma remota y sin autorización del usuario.

Por ahora se sabe que es una vulnerabilidad XSS que afecta al cliente de Chrome, provocando retuits a cuentas de extraños y mensajes de alerta. La cuenta oficial de la aplicación en Twitter señaló que el problema ya había sido arreglado, y que únicamente era necesario reingresar al servicio para que todo volviera a la normalidad.

Sin embargo, hace unos minutos el equipo de Tweetdeck informó que suspenderá todo el servicio hasta nuevo aviso, cuando el problema de seguridad haya sido reparado.

Mientras la aplicación está de vuelta, te recomendamos cerrar tu sesión y utilizar Twitter desde la plataforma web.

Actualización (13:01): TweetDeck confirmó que ya ha solucionado el problema, y al parecer todo ha vuelto a la normalidad.

¿Y qué pasó?

Más que un sofisticado ataque de hackers, la vulnerabilidad de TweetDeck radicó en su permisión para ejecutar código directamente desde la aplicación. De esta forma, si alguien publicaba alguna instrucción en el lenguaje de programación Javascript, el servicio no transformaba ese mensaje en texto plano, sino que lo corría en el navegador.

Uno de los tuits que probó la vulnerabilidad de TweetDeck
Uno de los tuits que probó la vulnerabilidad de TweetDeck

Como resultado, TweetDeck mostraba alertas extrañas y hacía retuits automáticos a otras cuentas, ya que muchas de sus funciones están en Javascript. Afortunadamente este tipo aplicaciones web están limitadas en su alcance, por lo que esta falla no afectó a otros sitios ni comprometió los datos del usuario. Aún así, lo sucedido hoy es un recordatorio de lo frágil que puede llegar a ser un servicio cuando alguien encuentra la forma de explotar un error.

vía Vox

fuente TweetDeck

temas