Estudio acerca de la seguridad en la autenticación de clientes Twitter


INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los clientes más comunes de cada una de las plataformas desde las que podemos acceder al servicio.





El objetivo de este estudio es hacer una revisión de la seguridad de estos clientes, para los que se ha comprobado los aspectos de autenticación, y cifrado que tienen lugar durante la comunicación entre cliente y servidor, además del almacenamiento de contraseñas con los que evaluar si el rápido crecimiento de la plataforma ha provocado que la seguridad se haya relegado a un segundo plano, suponiendo un riesgo de suplantación de identidad para los usuarios de estos clientes.

Para el estudio se han utilizado los clientes más representativos de diferentes plataformas: Windows, Linux, MacOS, iPhone, Android y Blackberry. Se ha tratado de abarcar el mayor número de plataformas, y dentro de éstas las aplicaciones más utilizadas.

Del análisis se concluye que:
La mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque se espera que aumente el uso de este sistema.
Aunque se use la autenticación básica, la mayoría de los clientes cifran la comunicación, lo que aporta seguridad ante el robo de credenciales.
Se confían las credenciales de acceso a un programa que muchas veces no conocemos su legitimidad ni seguridad.

Con lo expuesto, desde INTECO-CERT realizamos las siguientes recomendaciones:

Los usuarios deben buscar un compromiso entre seguridad y funcionalidad en el cliente Twitter, pero debemos inclinarnos por autenticación OAuth y cifrado de la comunicación.
Los desarrolladores deben conocer y seguir las indicaciones de seguridad de Twitter en el sentido de utilizar OAuth y comunicaciones cifradas.
Por parte de Twitter una posible medida para incrementar la seguridad podría ser utilizar SSL en las peticiones, como opción de configuración en la cuenta.

Informe en español:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_est_seguridad_clientes_twitter.pdf

También está disponible una versión en inglés del informe.
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_est_twitter_clients_securityen.pdf

Fuente:
http://cert.inteco.es



Otras noticias de interés:

Facebook se une a OpenID
El blog de desarrolladores de esta gigantesca red social ha sido el medio elegido para anunciar que Facebook se ha unido al consorcio OpenID que trata de implantar un sistema de autenticación universal que libere a los usuarios de los problemas actu...
Vulnerabilidad en Instagram
Instagram está siendo objeto de los ciberdelincuentes que han detectado una vulnerabilidad y que están aprovechando para obtener datos personales de los usuarios de esta plataforma para compartir fotos. ...
IE 9 presume de compatibilidad con estándares
Los responsables de la nueva versión del navegador web de Microsoft han mostrado los resultados de la edición de desarrollo de IE9 del mes de mayo sobre distintos test propuestos por el consorcio internacional W3C y los datos avanzan grandes nivele...
¿ En que consiste la tecnología NFC ?
Sony y Philips están desarrollando de manera conjunta una nueva tecnología de comunicación inalámbrica que podría estar disponible para el año 2.004....
Microsoft alerta de una vulnerabilidad en su Malware Protection Engine
En un aviso de seguridad publicado el 17-06, Microsoft advierte a los usuarios de una vulnerabilidad de denegación de servicio localizada en el Malware Protection Engine, que se distribuye en algunos de sus productos de seguridad. La actualización ...
Detectar vulnerabilidades en #Linux
Un investigador australiano, Silvio Cesare, ha desarrollado una herramienta que es capaz de detectar vulnerabilidades en Linux de forma automática....
¿Compañías de Hosting VICTIMAS de ataques DoS?
Según informe presentado por Netcraft, dos empresas importante de hosting y alquiler/venta de servidores dedicados fueron victimas de ataques DoS el día martes pasado. ...
IBM responde a Microsoft: OOXML es técnicamente inferior
Las declaraciones de Microsoft acusando a IBM de encabezar una campaña de desprestigio a OOXML ya tienen una contundente respuesta: El formato que los de Redmond pretenden imponer es técnicamente inferior a ODF y la compañía solo busca garantizar...
El software libre ya copa la quinta parte de la inversión en programas informáticos
El desarrollo del software libre ha desbordado el mundo académico y universitario para convertirse en un fenómeno industrial de gran impacto en la economía europea. Así lo confirma un estudio encargado por la Comisión Europea y realizado por la ...
Nueva variante B del gusano Mydoom
Cuando ni siquiera han comenzado a remitir las incidencias causadas por el gusano Mydoom.A.worm, PandaLabs ha detectado la aparición de la variante B de este gusano: Mydoom.B.worm....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acerca
  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clientes
  • computer
  • debian
  • estudio
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • twitter
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra