Vulnerabilidad XSS en TweetDeck

Hace cuestión de horas, se ha encontrado una vulnerabilidad XSS en TweetDeck. Para el que esté algo perdido o crea que mi lenguaje es una variación del arameo, TweetDeck es un cliente para Twitter. Significa esto que es una aplicación que utiliza la API de la red social de los 140 caracteres (y los retuits, tuits, etc…) para interactuar con el usuario, ofreciéndole personalizaciones tanto de pieles, formato, retuits, etcétera.

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.

Es posible encontrar una vulnerabilidad XSS en aplicaciones que tengan entre sus funciones presentar la información en un navegador web u otro contenedor de páginas web. Sin embargo, no se limita a sitios web disponibles en Internet, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí.

XSS es un vector de ataque que puede ser utilizado para robar información delicada, secuestrar sesiones de usuario, y comprometer el navegador, subyugando la integridad del sistema. Las vulnerabilidades XSS han existido desde los primeros días de la Web.

Esta situación es usualmente causada al no validar correctamente los datos de entrada que son usados en cierta aplicación, o no sanear la salida adecuadamente para su presentación como página web.

Fuente: Wikipedia

Como amante de la personalización de todo aparato electrónico, llámese móvil, tablet, PC, portátil, TV, Raspberry, etc… alguna vez he usado aplicaciones de este tipo, es más, creo que las he utilizado todas, tales con Falcon Pro, TweetDeck, Plume, Carbon, Talon, y así una larga lista. Básicamente puedes moldear tu cuenta twitter a tu gusto y sobre todo usar la función multicuenta que Twitter Oficial implementó hace ya varias versiones.

Actualmente uso la aplicación oficial, si bien es cierto que no es santo de mi devoción, pero las  limitaciones de la API de Twitter hacia los clientes de terceros hace que utilizar estos clientes en momentos de tráfico intenso, sea misión imposible. Y precisamente no es que sea paciente.

TweetxssDeck

La vulnerabilidad consiste en que este cliente es vulnerable a ataques XSS. Si nosotros escribiéramos un código HTML con una etiqueta script ejecutaría el código JavaScript que hubiera.

Esta es una captura de la ejecución de código «malicioso» por la que se ha descubierto esta vulnerabilidad aunque este solamente lo que ha hecho es retuitear el código genuino y le muestra una especie de alerta el propio usuario. Para nada es dañino lo de la imagen pero a estas horas ya seguramente haya decenas de script que tengan fines maquiavélicos.

Por lo pronto y pese a las noticias que la cuenta Twitter Oficial de TweetDeck ha anunciado, aconsejamos revocar el acceso de TweetDeck a través de la Web oficial de Twitter para evitar sustos hasta que corrijan el problema. (¿Usarán su cliente para tuitear? xD)

Comentar que el servicio de este cliente está en suspensión (que no funciona). Entendemos que para subsanar el fallo.

Hasta donde sabemos, están afectadas las versiones TweetDeck de Escritorio y la versión de Chrome. No sabemos si la versiones de móviles están con el «maleficio».

Nuestro consejo es: Cerrar sesión de TweetDeck de donde lo tengáis utilizando y revocar el acceso de la aplicación a vuestra cuenta Twitter.

Un saludo

@ManoloGaritmo