07 marzo 2009

Hackeos memorables: El Twitter de Enrique Dans

Puede parecer muy petulante que auto-incluya en nuestra sección de 'Hackeos memorables' algo que hemos realizado nosotros, pero dada la repercusión que el asunto está tomando, me voy a permitir la licencia.

Recientemente se ha publicado que Twitter en su método de actualización basado en SMS es susceptible de ser 'spoofeado' enviando sms cuyo origen sea el numero de móvil que está asociado a la cuenta.

Lo del SMS Spoofing no es nada nuevo, ya escribimos tiempo atrás un premonitorio artículo sobre la fiabilidad de los SMS y los servicios basados en el numero de origen.

El caso es que una vez en conocimiento del ataque, me decidí a hacer pruebas, lo primero que me hacia falta era un servicio para enviar sms en el que pudiera editar a mi antojo el numero de origen, probé BromaSMS pero este servicio solo se puede emplear en números nacionales (el numero para postear en twitter es un +44 inglés) así que ese servicio no me era útil. Después de pensarlo un poco, recordé que la gente de lleida.net tienen un servicio que permite enviar SMS desde la web, una vez registrado me puse a probar en mi casi-abandonada cuenta Twitter.

Sorprendentemente los updates enviados desde el servicio de LLeida funcionaban, así que después de pensar en las posibilidades del bug, me vino a la cabeza la persona mas pro-twitter de España: Enrique Dans.

Solo me faltaba un detalle, conocer el teléfono que estaba asociado a la cuenta de Twitter. La búsqueda fue sencilla ya que Enrique publica como datos de contacto su teléfono móvil. En principio pensé que el numero ahí publicado solo seria algún tipo de móvil-filtro re-dirigido al verdadero, pero solo había una forma de salir de dudas: haciendo la prueba.

El resultado, como se puede apreciar, fue satisfactorio:


Enrique en su post sobre el tema apuesta por que los operadores de telefonía Españoles filtren ese tipo de mensajes. Yo, desde mi punto de vista, no soy tan optimista, si hicieran eso, servicios como el de lleida (perfectamente legitimo) dejarían de funcionar. En este caso el problema viene de implementar un servicio sustentado en algo tan poco seguro como el numero de teléfono. Yo lo veo análogo a si permitieran updates vía correo-electrónico tomando como elemento validador el correo origen. La solución por tanto pasa por implementar algún tipo de contraseña que tuviera que viajar junto al SMS para dar por buena la actualización.

Solo nos queda agradecer a Enrique por su fair-play y tomarse tan deportivamente el asunto

18 comments :

matias dijo...

¡Muy interesante!

El Teleoperador dijo...

Más que fair-play, es que aún no lo ha entendido.

Enrique dijo...

Faltaría más, me ha parecido perfecto, y agradezco las formas con las que lo habéis hecho. Como te comenté en el correo, la intención era clara, y la razón por la que me escogías a mí también. El hack estaba perfectamente documentado en todas partes, la forma de evitarlo también, y lo único que pasó es que cuando intenté retirar el permiso a mi teléfono móvil para enviar mensajes a Twitter, el servicio estaba con una de sus tan típicas crisis y no pude hacerlo, salía la fail whale todo el tiempo. Como la cosa no tenía la menor importancia - la trascendencia de un tipo queriendo enviar mensajes a mi Twitter es nula - y yo estaba de fin de semana de relax absoluto en un balneario, pasé completamente del tema. Por la tarde, algún pobre imbécil pretendió tener sus dos segundos de fama enviando otro mensajito, que borré tranquilamente tras reírme un rato pensando en lo triste que es la vida de algunos. En ese momento sí, pude desactivar el envío desde móvil, y me seguí riendo viendo como el pobre idiota seguía patéticamente enviando SMS intentando sin éxito poner otras cosas en mi Twitter, como si de verdad eso fuera importante (obviamente, lo era para él :-)

Al final, hemos echado un rato entretenido, sin más. Lo único que me sorprende es la importancia que algunos dan a este tema. En mi blog han llegado a compararlo con el agujero de seguridad de Explorer. De flipar, la verdad.

Diego Parrilla dijo...

Sois los putos amos. Y dado que twitter se empieza a usar como fuente de información 'pronta', es algo serio.
Si en vez de ese texto sobre vuestro blog enviáis algo así como 'Me acaban de confirmar que Steve Jobs ha muerto' o 'Nuevo atentado islamista en el Metro de Madrid' seguro que se arma.

Diego Parrilla dijo...

Por cierto, hay un servicio conocidísimo que te permite hacer spoofing de SMS: Skype.

Anónimo dijo...

Lo que podrian hacer es obligar a mandar un primer mensaje de "alta", así se podría asociar de manera correcta el numero de movil a la tarjeta.

Anónimo dijo...

"Por la tarde, algún pobre imbécil pretendió tener sus dos segundos de fama enviando otro mensajito, que borré tranquilamente tras reírme un rato pensando en lo triste que es la vida de algunos. En ese momento sí, pude desactivar el envío desde móvil, y me seguí riendo viendo como el pobre idiota seguía patéticamente enviando SMS intentando sin éxito poner otras cosas en mi Twitter, como si de verdad eso fuera importante (obviamente, lo era para él :-)

Al final, hemos echado un rato entretenido, sin más. Lo único que me sorprende es la importancia que algunos dan a este tema. En mi blog han llegado a compararlo con el agujero de seguridad de Explorer. De flipar, la verdad."


Qué forma de hacer amigos a destajo por dios... en fin, flipadillos los tiene que haber en todas partes, e internet no es una excepción.

Anónimo dijo...

felicidades! ahora un monton de gente usara subnormal usara el metodo para fines de dudosa legalidad. Anteriormente era conocido solo por gente q era lo suficientemente inteligente como para no hacer ninguna estupidez.

Pronto veremos un monton de ALTAS en servicios de sms de pago.

PD: bastaba con decir lo que habiais hecho y el metodo, pero no explicarlo.

Anónimo dijo...

No basta con decir lo que se ha hecho, la comunidad tiene derecho a conocer todos los detalles. El problema es de Twitter, si no puede corregir determinados errores con prontitud (al parecer el problema no es nuevo)

Pedro Herrero dijo...

Desde esto teneis un "follower" mas a vuestro blog :)

Nais dijo...

Diego: LO del spoofing de sms con Skype olvidalo.
Cuando configuras un número de cel. te envía a este número un código de verificación, así que como no tengas el celular en tu mano para comprobar el código...aguas. Pero teneis Lleida.net y algún que otro hosting que ofrece el mismo servicio para spoofear sms.

Saludos.

Anónimo dijo...

Anda, si está aquí el cancamuso 2.0. Adivine el ávido lector cuantos tecnicismos irrelevantes en inglés ha usado para ofuscar un mensaje perfectamente expresable en castellano clarito.

Que si la "fail whale", que si el "hack".

Me pregunto si un día de estos no caerá en un bucle infinito escribiendo su diario-al-minuto en el twitter.

Minuto 1: Me pongo a escribir en el Twitter

Minuto 2: Sigo escribiendo en el Twitter

Minuto 3: Me pongo a leer lo que he escrito en el Twitter

Minuto 4: Me pongo a leer lo que he escrito en el Twitter

Minuto 5: Me pongo a leer lo que he escrito en el Twitter

Nais dijo...

vaya, si están llegando los tálibanes ortografico-gramaticales meneadores!

W dijo...

Jajajaja, les escribo para que sepan que con ésto los descubrí yo. Porque sigo a edans :P
Y como el blog me gustó, desde ese día están en mi GReader ;)

Alonso (from Los Cabos) dijo...

Bien hecho, excelente que no hayan aprovechado para twitear estupideces como otros (todos nosotros) lo hubieran hecho jaja

BooT Loos dijo...

Me hacen gracia algunos de los comentarios de "anonimos". Demasiado cobardes algunos para insultar con un nombre por delante. Incluso un avatar es suficiente para que se te tome mas en serio y no se piense "vaya, un troll mas".

Enhorabuena. Estais oficialmente en "periodo de prueba" (jejejeje)

P.D.: Acabo de leer que tienes habilitda la moderación de comentarios y no has baneado a los "trolls" de antes. Enhorabuena una vez mas por mostrar que tener poder no es suficiente para utilizarlo.

W dijo...

Jajajaja, les escribo para que sepan que con ésto los descubrí yo. Porque sigo a edans :P
Y como el blog me gustó, desde ese día están en mi GReader ;)

Nais dijo...

vaya, si están llegando los tálibanes ortografico-gramaticales meneadores!