Twitter, i comandi via SMS sono vulnerabili

Solitamente gli utenti utilizzano applicazioni dedicate, e disponibili per i principali sistemi operativi mobile, per inviare comandi su Twitter. Il social network offre però la possibilità di interagire mediante SMS, lo storico sistema di comunicazione che ha compiuto 20 anni proprio in questi giorni. Un ricercatore di sicurezza ha però scoperto una vulnerabilità che permette ad un malintenzionato di pubblicare un messaggio su Twitter conoscendo solo il numero di telefono della vittima.

Alcune delle azioni tipiche di Twitter, come seguire qualcuno o aggiungere un tweet ai preferiti, possono essere effettuate con semplici comandi via SMS. Per inviare, ad esempio, una risposta ad una persona facendo apparire il tweet nella sua cronologia è sufficiente inviare un messaggio preceduto dal simbolo @. Per inviare, invece, un messaggio privato deve essere usato il comando D, mentre per ripetere l’ultimo tweet di un following bisogna digitare il comando RITWITTA seguito dal nome dell’utente.

La vulnerabilità interessa tutti gli utenti che hanno associato un numero di cellulare all’account Twitter e non hanno impostato un codice PIN. Un hacker può intercettare gli SMS inviati e falsificare l’identità del mittente mediante tecniche di spoofing. Come le email, infatti, anche gli SMS consentono di risalire alla fonte originaria in quanto viene abbinato il numero di telefono al messaggio. Utilizzando quindi i comandi appositi, l’attaccante può pubblicare tweet per conto di un’altra persona o modificare il suo profilo.

Il ricercatore Jonathan Rudenberg ha notificato a Twitter la vulnerabilità scoperta il 17 agosto, ma a tutt’oggi il bug di sicurezza è ancora presente. In attesa di una soluzione al problema, gli utenti dovrebbero abilitare il codice PIN (nei paesi dove è possibile) oppure disattivare la funzionalità che permette di inviare comandi tramite SMS. La stessa vulnerabilità era presente anche in Facebook, ma l’azienda di Menlo Park ha chiuso il bug alla fine di novembre.