i Linux.es

Twitter, la red social de “microblogging” que en los últimos años ha incrementado sus aficionados de una manera impresionante, ha tenido en estos últimos días, varios problemas en su servicio. El conflicto principal se daba en la derivación de mensajes a cualquier sitio, sin siquiera hacer clic.

Los usuarios veían mensajes con colores en sus líneas temporales, y al posicionarse con el mouse, sin necesidad de hacer clic, y sin saberlo, volvían a enviar el mensaje malicioso. En los dispositivos móviles también se presentaban estos mensajes maliciosos, pero en forma de código, por lo que no se llegaban a enviar estos mensajes de manera automática y solo pasando el mouse por encima de ellos, como si ocurría con el servicio de Twitter en los ordenadores hogareños.

La buena noticia es que el problema que se había producido, ya pudo ser identificado (se trataba de un ataque de XSS) y solucionado por la compañía. Por su parte la empresa de seguridad Sophos explicó que este conflicto se debió a la explotación de una vulnerabilidad que permite la apertura de las páginas de terceros en el navegador solo con mover el mouse, y sin necesidad de clickear.

Este defecto permitía crear mensajes “ocultos” por bloques de color, mas conocidos como “Tweets arcoíris”. Lo mas grave de todo esto es que esta vulnerabilidad se aprovechaba al escribir un código Java Scrpt (“onmouseover”) dentro de una dirección URL. Al hacer esto, el usuario tenía la posibilidad de crear un mensaje “pop - up”, el cual aparecía cuando alguien intencionalmente, o sin darse cuenta, pasaba el mouse por encima del enlace. Esta debilidad comenzó a utilizarse como un juego, pero no faltó mucho para que empezara a utilizarse por Spammers. Mas allá de esto, lo importante es que ya se ha solucionado.

Comparte este artículo