Una característica en la API de Twitter (Interfaz de programación de la Aplicación) puede ser utilizada para lanzar ataques de ingeniería social que permitirían a un atacante tomar el control de la cuenta de algún usuario. Esto fue revelado el miércoles en la conferencia de seguridad Hack in the Box, en Ámsterdam, por un desarrollador de aplicaciones móviles.

El problema está relacionado con la forma en que Twitter usa el estándar OAuth para autorizar aplicaciones de terceros, incluidas de escritorio y móviles, para interactuar con las cuentas de los usuarios mediante su API, comentó el pasado jueves, Nicolas Seriot, un desarrollador de aplicaciones móviles y Gerente del Banco Swissquote en Suiza.

Twitter permite a las aplicaciones especificar una respuesta (llamada personalizada) a una URL donde los usuarios son redirigidos después de permitir a las aplicaciones el acceso a sus cuentas a través de la página de autorización del sitio de Twitter.

Seriot encontró una manera de crear ligas especiales que, cuando son accedidas por los usuarios, abrirán las páginas de autorización de los clientes más populares, como TweetDeck. En estas peticiones, se especifica la URL del servidor del atacante, como la dirección de respuesta, forzando a los navegadores de los usuarios a enviar el identificador de accesos de Twitter al atacante.

El identificador enviado permite realizar acciones a través de la cuenta del usuario asociado mediante la API de Twitter, sin la necesidad de una contraseña. Un atacante podría usar esos identificadores para publicar nuevos tuits en nombre de los usuarios comprometidos, leer sus mensajes privados, modificar la ubicación desde la que se muestran sus tuits, y más.

La presentación cubre principalmente las implicaciones de seguridad de permitir llamadas de respuesta y describe el método de usar esta característica para enmascararse como un usuario legítimo y confiable de Twitter con el fin de robar identificadores de acceso de los usuarios y comprometer sus cuentas.