Leemos con **bastante preocupación el descubrimiento de una vulnerabilidad importante** en el gestor de Twitter que viene instalado por defecto en todos los HTC: HTC Peep. Según el descubridor de la vulnerabilidad, analista de seguridad informática y fundador de la empresa Taddong este grave error de programación daría fácil acceso tanto al usuario como a la contraseña de cualquier persona que usase el software.
El problema vendría en las peticiones HTTP que el programa usa para funcionar, estando presente en dos momentos bastante críticos del funcionamiento: el login del usuario y después únicamente en todas las transacciones entre Twitter y el teléfono donde se está ejecutando la aplicación. Por el momento **los modelos admitidos por HTC que presentan este problema son todos basados en Windows Mobile**: HD2, T-Mobile HD2, Topaz, Rhodium, y HD Mini, si bien otros terminales, tanto Windows cómo Android podrían estar afectados. Por desgracia, no es la primera vez que HTC Peep tiene problemas.
Para hacer honor al descubridor os dejo sus palabras textuales (traducidas del idioma de Shakespeare por un servidor) sobre como se presenta la vulnerabilidad:
>La primera vulnerabilidad se da en la tercera petición HTTP, una petición POST hacia el recurso "/oauth/authorize", el cual contiene varios parametros, incluyengo el usuario y la contraseña perfectamente visibles
En concreto en el caso de una petición de login tendríamos esto (fijaos en la negrita):
authenticity_token=c8b5abaf53f223e827d9258ddfef4285a816db5f&
oauth_token=I4FK956n1foaHjayLKXJT2IaBpsmoo0amKyPhebc&
session%5Busername_or_email%5D=USERNAME&session%5Bpassword%5D=PASSWORD
Las demás peticiones serían igual de fáciles de descifrar:
>...Todas las peticiones HTTP desde el terminal movil hacia el servicio de Twitter incluyen la cabecera basica de autentificacion HTTP que contiene el nombre de usuario de Twitter asi como su contraseña (aunque en teoria deberia estar usando OAuth)
GET /statuses/friends_timeline.json?count=50&page=1 HTTP/1.1
Accept: text/xml, application/xml;q=0.9, */*;q=0
Authorization: Basic BASE64("USERNAME:PASSWORD")
User-Agent: TwitterEngine
Host: twitter.com
Sin embargo, lo peor de todo este problema no es la reacción, ya que desde HTC han confirmado que el problema existe, pero está solucionado. En forma de actualización. Que no está disponible al público actualmente.
Y ahora es donde yo explico cómo entiendo el problema. Hace un tiempo una persona se compraba su teléfono, y tenía ese teléfono hasta que moría o se compraba uno mejor. Pero poco a poco los teléfonos fueron necesitando actualizaciones. Al principio nadie tenía muy claro ni como y ni quien debía hacerlas llegar al consumidor: sería el fabricante, sería la operadora. El problema real es que a la operadora no le resulta rentable actualizar los dispositivos, les supone una infraestructura por la que no ven ganancia real, pues ya han vendido el terminal.
¿Y porque os cuento esto? Porque me da que esa es la explicación a este retraso. Sobre todo al tratarse de terminales relativamente antiguos. Quizá además se trata de espera a ver si el problema se reproduce en los actuales terminales con Android. Sea como sea, ¿Que os parece el problema? ¿Seguiréis usando HTC Peep? ¿Suponen las actualizaciones problemas extra para los operadores?
Via: The Next Web