Os problemas de segurança em duas das principais redes sociais parecem não ter fim. O Facebook sofreu várias baixas este ano após sucessivos escândalos que levaram a multas e perdas de usuários. Agora, o Twitter volta a ter contas invadidas após reclamação. As reclamações foram feitas pela empresa que corrigiu um bug anterior.
O Twitter alega ter resolvido um bug que permitiu a um grupo de pesquisadores de segurança de Londres postar tweets não autorizados nas contas de celebridades e jornalistas britânicos. Porém, os hackers que inicialmente divulgaram a vulnerabilidade dizem que isso é pouca coisa diante de outros problemas.
Falsificação de SMS
O porta voz do Twitter disse a repórteres que “resolveu um bug que permitia a certas contas com um número de telefone conectado ao Reino Unido fossem alvo de falsificação de SMS“.
No entanto, durante uma conversa com o site Gizmodo, os hackers postaram tweets não autorizados em contas de celebridades. Então, eles foram capazes de reproduzir o experimento depois que o Twitter disse ter corrigido a falha.
O jornal The Guardian havia relatado no início do dia que o bug havia sido resolvido citando a mesma declaração fornecida ao Gizmodo.
Pressionado por uma explicação, o Twitter só afirmou que ainda está investigando o assunto. Segundo a empresa, é preciso garantir que os “protocolos de segurança de conta estejam funcionando conforme o esperado”.
Testes não autorizados
Os testes de sequestro são controversos, pois os usuários, apesar de supostamente terem sido notificados, não concordaram com o experimento. Ele foi realizado por um grupo chamado Insinia Security. O grupo diz que foi motivado a demonstrar a existência da falha com contas de alto potencial, a fim de chamar a atenção para o problema.
Essencialmente, a falha permite que praticamente qualquer pessoa publique atualizações em certas contas ativadas por SMS. Mesmo assim, não está claro quantas contas podem estar vulneráveis.
Não acreditamos que haja risco significativo para os usuários nos EUA, acrescentou um porta-voz do Twitter.
Entre as contas sequestradas pelos pesquisadores estão as da emissora Eamonn Holmes, da Irlanda do Norte, e do documentarista britânico Louis Theroux.
Se pudermos enviar mensagens do que parece ser seu número, poderemos interagir e controlar totalmente sua conta do Twitter, disse o grupo de hackers.
Como se dá a falha
O método usado envolve o envio de mensagens de texto para o Twitter contendo comandos, falsificando o número de telefone de um usuário.
Sem o conhecimento de muitos usuários, uma conta do Twitter pode aceitar comandos via mensagem de texto, desde que o usuário saiba para onde enviá-los.
Os números usados variam de país para país e vêm em duas formas: um código longo, que se parece com um número de telefone normal, e um código curto, que normalmente tem de três a cinco dígitos.
Prontamente, o código longo atribuído ao Reino Unido, onde a Insinia realizou seus testes, é +447624800379. O código de acesso para usuários baseados nos EUA é 40404.
Os códigos de acesso não estão disponíveis em todos os países. Antes de uma mudança em 2012, os códigos longos podiam ser usados por qualquer pessoa em qualquer país, mesmo que seu prefixo contivesse um código de discagem externa (também conhecido como “códigos de país”).
Existem inúmeros aplicativos disponíveis na internet que podem ser usados para “falsificar” um número de telefone. É importante notar que esta pode ser considerada uma atitude ilegal. A falsificação de um número permite que alguém envie mensagens ou faça chamadas que parecem ter origem no telefone de outra pessoa. Essa mesma técnica de phreaking também é usada para invadir sistemas de correio de voz.
Primeiramente, os hackers descobriram quais números de telefone foram usados pelas várias celebridades. Depois, passaram a controlar as contas de terceiros no Twitter. Da mesma forma, os hackers dizem que foram capazes de falsificar os números. Depois transmitiram comandos para as contas do Twitter usando um dos códigos longos do Twitter.
Se pudermos enviar mensagens do que parece ser o seu número, poderemos interagir e controlar totalmente sua conta do Twitter, afirmou a Insinia Security”.
A comprovação
Durante uma conversa privada com o Gizmodo, no entanto, os hackers pareciam reproduzir seu experimento. Eles forçaram uma conta pertencente ao chefe de uma empresa de tecnologia financeira sediada em Londres a retweetar uma mensagem da BBC. A Insinia disse que verificou que a vulnerabilidade não foi corrigida em várias contas.
Em 2012, o Twitter reconheceu uma vulnerabilidade que permitia que os hackers realizassem esses tipos de ataques. Porém, afirmou que certas contas estavam imunes. Este seria o caso de contas baseadas nos EUA. Na época, não havia shortcode para usuários no Reino Unido interessados em enviar comandos baseados em SMS.
Em resposta ao problema
O Twitter implementou um sistema de código PIN para os usuários que se inscreveram no serviço usando um código longo. Essa medida de segurança não foi necessária para usuários em países que tinham códigos de acesso, disse a empresa. Foi necessária a etapa adicional. Assim, deveriam desativar a capacidade de usar códigos de acesso em países em que um código de acesso estava disponível.
Em algum momento, o Reino Unido habilitou vários códigos de acesso do Twitter. Portanto, não está claro por que um código longo ainda funciona com contas baseadas no Reino Unido.
O grupo Insinia disse que até agora o experimento de spoofing só funcionava em contas quando usava um código longo para transmitir os comandos. Segue-se, então, que desabilitar o uso de códigos longos sempre que possível (novamente) provavelmente resolveria esse problema. Insinia disse que está investigando se há um método para sequestrar contas que só podem receber comandos via shortcode.