La red social de 'microblogging' Twitter ha experimentando problemas
en su servicio. Así, los usuarios veían mensajes con colores en sus
líneas temporales y, al acercar el ratón a los mismos, volvían a enviar
el mensaje malicioso.
Sin embargo, el servicio funcionaba con normalidad a través de dispositivos móviles, en los que los mensajes simplemente aparecen como un código, pero no son reenviados.
La compañía ha anunciado que ya ha identificado y solucionado el problema, un ataque XSS.
Según explica la empresa de seguridad informática Sophos,
el problema se debió a la explotación de una vulnerabilidad que permite
que se abran las páginas de terceros en el navegador sólo con mover el
ratón por la página, es decir, sin necesidad de hacer clic.
Además, esta vulnerabilidad permitía crear mensajes 'ocultos' por bloques de color, conocidos como 'tweets arco iris'.
Esta vulnerabilidad se aprovechaba al escribir un código de
JavaScript ('onmouseover') dentro de una dirección URL. Al hacerlo, el
usuario podía crear un mensaje 'pop-up' que aparecería cuando alguien pasaba el ratón por encima de dicho enlace.
Así, aunque al principio se utilizó esta vulnerabilidad como un
"juego", según Sophos, pronto empezó a ser utilizado por spammers. De
hecho, el problema ha llegado a afectar a Sarah Brown, mujer del antiguo
primer ministro británico, que publicó sin quererlo un mensaje que
dirigía a un sitio pornográfico japonés.
Comentarios