Efectuamos una prueba mediante Twitpic, el servicio de fotografías, que al conectarse con una cuenta de Twitter, puede tener permisos para leer tus tweets, ver a cuáles usuarios sigues y seguir a otros, actualizar tu perfil y publicar tweets por ti. Jamás especifica que tiene la capacidad de enviar mensajes directos de parte del usuario.
Al subir una fotografía, como descripción pusimos el comando para enviar un mensaje directo y después la publicamos en Twitter, pero la imagen se envió como DM y no como tweet, lo que hizo evidente la violación de los permisos.
Si bien en nuestras pruebas especificamos manualmente que deseamos enviar un mensaje directo, la vulnerabilidad abre paso a que cualquier aplicación conectada a una cuenta de Twitter pueda enviar estos mensajes sin el consentimiento del usuario.
A partir de esta falla, aplicaciones de terceros podrían enviar spam. Además, debido a que no se muestra si el mensaje directo se originó desde el cliente oficial o desde una aplicación externa, hay muchas probabilidades de que los usuarios sean susceptibles de sufrir phishing.
A pesar de poder enviar mensajes, las aplicaciones no pueden leer los mensajes directos de los usuarios
De acuerdo con Homakok, otro desarrollador, comunicó la vulnerabilidad a Twitter, pero no recibió respuesta. Más adelante, Ben Ward, jefe de Twitter para sitios web, explicó que la compañía no considera que publicar un tweet sea distinto a enviar un DM, y puntualizó que, a pesar de que las aplicaciones pueden mandar mensajes directos, estas no pueden leerlos, por lo que se protege la privacidad del usuario.
Aún con lo explicado por Ward, ¿es correcto decir que enviar un tweet es igual a mandar un mensaje directo, especialmente cuando la aplicación puede hacerlo sin que lo sepas? Por supuesto, las aplicaciones legítimas no explotarían esta vulnerabilidad, pero ahora que la falla se publicó, es probable que surjan apps maliciosas que busquen aprovecharse de ella.
