Estudio acerca de la seguridad en la autenticación de clientes Twitter


INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los clientes más comunes de cada una de las plataformas desde las que podemos acceder al servicio.





El objetivo de este estudio es hacer una revisión de la seguridad de estos clientes, para los que se ha comprobado los aspectos de autenticación, y cifrado que tienen lugar durante la comunicación entre cliente y servidor, además del almacenamiento de contraseñas con los que evaluar si el rápido crecimiento de la plataforma ha provocado que la seguridad se haya relegado a un segundo plano, suponiendo un riesgo de suplantación de identidad para los usuarios de estos clientes.

Para el estudio se han utilizado los clientes más representativos de diferentes plataformas: Windows, Linux, MacOS, iPhone, Android y Blackberry. Se ha tratado de abarcar el mayor número de plataformas, y dentro de éstas las aplicaciones más utilizadas.

Del análisis se concluye que:
La mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque se espera que aumente el uso de este sistema.
Aunque se use la autenticación básica, la mayoría de los clientes cifran la comunicación, lo que aporta seguridad ante el robo de credenciales.
Se confían las credenciales de acceso a un programa que muchas veces no conocemos su legitimidad ni seguridad.

Con lo expuesto, desde INTECO-CERT realizamos las siguientes recomendaciones:

Los usuarios deben buscar un compromiso entre seguridad y funcionalidad en el cliente Twitter, pero debemos inclinarnos por autenticación OAuth y cifrado de la comunicación.
Los desarrolladores deben conocer y seguir las indicaciones de seguridad de Twitter en el sentido de utilizar OAuth y comunicaciones cifradas.
Por parte de Twitter una posible medida para incrementar la seguridad podría ser utilizar SSL en las peticiones, como opción de configuración en la cuenta.

Informe en español:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_est_seguridad_clientes_twitter.pdf

También está disponible una versión en inglés del informe.
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_est_twitter_clients_securityen.pdf

Fuente:
http://cert.inteco.es



Otras noticias de interés:

Microsoft solucionará 49 vulnerabilidades!
Si ya los usuarios no tenían suficiente con los 23 parches que arregló Adobe esta última semana, ahora deberán concentrarse en su sistema operativo, ya que en su ciclo habitual de actualizaciones que publica Microsoft los segundos martes de cada ...
5 razones para tu privacidad en Internet
¿Le darías tu número de teléfono a un desconocido? ¿Le enseñarías tus fotos de las vacaciones a tu jefe? En la vida diaria tenemos muy claro dónde están los límites y lo que vale nuestra privacidad. La protegemos por una cuestión de intimi...
Linux recibe el apoyo de Google.
Google, el buscador más popular de Internet se ha decantado en favor del sistema operativo Linux durante una conferencia en la reciente LinuxWorld....
Actualización de seguridad para Mac OS X 10.6
Apple ha incluido diferentes mejoras de seguridad en Mac OS X 10.7.2 Lion que ha incluido de forma separada en una actualización de seguridad para Mac OS X 10.6 Snow Leopard en forma de una descarga que ocupa 142,5 MB....
Último grupo de parches de Microsoft del 2009
Microsoft ya ha anunciado que para el segundo martes de diciembre, planea publicar 6 nuevos boletines de seguridad, los que solucionarían vulnerabilidades de diversa índole en sus productos. ...
Robo de claves a través de gestores de contraseña
Hace unos días salió a la luz una vulnerabilidad, que se ha venido a denominar Reverse Cross-Site Request (RCSR), capaz de afectar a dominios completos en los que los usuarios pueden introducir libremente código HTML....
Oulook te traga tu disco duro
Hay un glotón que está consumiendo el espacio de su disco duro. Outlook registra sus mensajes de correo electrónico, citas, contactos y notas en un archivo de datos .pst que crece continuamente. A medida que el archivo se expande, devora una gran ...
Kaspersky: ciberguerra podría acabar con el mundo que conocemos
El director y cofundador de la compañía rusa que lleva su nombre aún no se ha recuperado del descubrimiento del superespía Flame, el virus que afectó a computadores de muchos países de Oriente Próximo, básicamente de Irán. ...
Microsoft publica una actualización críticia para Internet Explorer - "* Actualiza tu navegador * "
Microsoft rompe su habitual práctica de publicar boletines y actualizaciones de seguridad los segundos martes de mes, para publicar hoy mismo una actualización crítica para Internet Explorer. Esta actual...
Como instalar Roms Android (I)
Tengo dos preciados amigos, uno con un Huaweii UM840 y el otro con un Motorola Milestone los cuales en busca de evaluar el sistema operativo Android en su versión Gingerbread, usaron versiones cocinadas para sus dispositivos, esto a razón de que al...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acerca
  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clientes
  • computer
  • debian
  • estudio
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • twitter
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra