INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los clientes más comunes de cada una de las plataformas desde las que podemos acceder al servicio.
El objetivo de este estudio es hacer una revisión de la seguridad de estos clientes, para los que se ha comprobado los aspectos de autenticación, y cifrado que tienen lugar durante la comunicación entre cliente y servidor, además del almacenamiento de contraseñas con los que evaluar si el rápido crecimiento de la plataforma ha provocado que la seguridad se haya relegado a un segundo plano, suponiendo un riesgo de suplantación de identidad para los usuarios de estos clientes.
Para el estudio se han utilizado los clientes más representativos de diferentes plataformas: Windows, Linux, MacOS, iPhone, Android y Blackberry. Se ha tratado de abarcar el mayor número de plataformas, y dentro de éstas las aplicaciones más utilizadas.
Del análisis se concluye que:
- La mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque se espera que aumente el uso de este sistema.
- Aunque se use la autenticación básica, la mayoría de los clientes cifran la comunicación, lo que aporta seguridad ante el robo de credenciales.
- Se confían las credenciales de acceso a un programa que muchas veces no conocemos su legitimidad ni seguridad.
Con lo expuesto, desde INTECO-CERT realizamos las siguientes recomendaciones:
- Los usuarios deben buscar un compromiso entre seguridad y funcionalidad en el cliente Twitter, pero debemos inclinarnos por autenticación OAuth y cifrado de la comunicación.
- Los desarrolladores deben conocer y seguir las indicaciones de seguridad de Twitter en el sentido de utilizar OAuth y comunicaciones cifradas.
- Por parte de Twitter una posible medida para incrementar la seguridad podría ser utilizar SSL en las peticiones, como opción de configuración en la cuenta.
También está disponible una versión en inglés del informe.
Fuente: http://bit.ly/8vvWEP