QR code per la pagina originale

Twitter e Flash, accoppiata pericolosa

Un errore di programmazione in un widget realizzato in Flash potrebbe consentire la violazione degli account Twitter. La falla è stata rilevata da un esperto di sicurezza e ha indotto la piattaforma a sospendere l'utilizzo del widget incriminato

,

La scorretta impostazione di un widget di Twitter realizzato in Flash potrebbe costituire un serio problema di sicurezza per la trafficata piattaforma per il microblogging. L’errore da poco messo in evidenza potrebbe consentire a un utente malintenzionato di forzare gli account di Twitter, ottenendo così l’accesso ai messaggi diretti e a una serie di opzioni per aggiungere o rimuovere i follower. A titolo precauzionale, i responsabili di Twitter hanno temporaneamente sospeso il widget in Flash, solitamente inserito dagli utenti sui loro siti web per pubblicare gli aggiornamenti provenienti dal proprio profilo.

L’errore di programmazione è stato rilevato da Mike Bailey, esperto di sicurezza per la società Foreground Security, che ha notato come la versione in Flash del widget di Twitter fosse sostanzialmente in grado di caricare qualsiasi file ospitato sulla Rete, compresi gli oggetti contenenti stringhe di codice per ottenere l’accesso agli account della piattaforma. «Non è colpa di Adobe. Tutto questo è dovuto al fatto che numerosi pessimi programmatori realizzano gli oggetti in Flash. Ho visto letteralmente centinaia di situazioni analoghe sul Web» ha dichiarato Bailey, sottolineando come il problema del caricamento dei file attraverso Flash sia spesso sottovalutato dai programmatori, che non inseriscono un numero sufficiente di limitazioni come suggerito da Adobe, la società che sviluppa il celebre sistema per la grafica vettoriale.

Utilizzando un semplice file XML ospitato su uno dei propri server, Bailey ha sfruttato la vulnerabilità del widget di Twitter forzando la pubblicazione di un micropost su un account di prova. Cliccando su un link che rimandava al server di Bailey, l’inconsapevole utente che aveva già effettuato il login su Twitter ha aperto le porte del proprio profilo all’esperto di sicurezza, che ha così potuto inviare il messaggio. Utilizzando la medesima procedura, un utente malintenzionato potrebbe dunque visualizzare i messaggi diretti e privati di un account, modificare alcune impostazioni e rimuovere o aggiungere i follower a proprio piacimento.

Venuti a conoscenza del problema sollevato da Bailey, i responsabili di Twitter hanno deciso di correre ai ripari e di sospendere il widget incriminato in attesa di ulteriori dettagli. Stando a quanto dichiarato sul tumblr Twitter Status, al momento nessun utente avrebbe segnalato all’assistenza della piattaforma l’avvenuta violazione del proprio profilo a causa dell’errore di programmazione in Flash. Gli esperti di sicurezza di Twitter sono al lavoro e dovrebbero mettere a disposizione degli utenti una versione rivista e corretta del widget in tempi brevi. Nel frattempo, una soluzione alternativa e apparentemente più affidabile sul fronte della sicurezza è data dai widget realizzati in javascript.

Notizie su: