vulnerabilidad en taiper.com

Posted by Carlos Ganoza on 23 Feb, 2011

¿Qué es Taiper?

Taiper es un servicio creado por jóvenes peruanos para facilitarnos la vida a todos los twitteros dándonos la posibilidad de twittear y cambiar el estado del facebook via sms.

Aunque no lo e usado mucho reconozco su utilidad para muchos twitteros ya que fue una idea innovadora, pues taiper comenzó antes de que salgan los servicios de movistar para postear en twitter y facebook.

Personalmente no sabia que seguía funcionando , porque luego que salió el servicio de movistar anunciaron su cambio de servicio y todo eso ( me sentí desilusionado por que recién comenzaba a usar el servicio) y tengo claro y no movistar.

Bueeeno vayamos a la acción:

Taiper te permite postear en tu twitter y facebook de la siguiente manera:

1.- te registras.

2.- das permisos a la aplicación para que publique en tu Twitter o Facebook.

3.- mandas un sms a el numero de celular que ellos te brindan y tu publicación aparecerá en tu muro .

El punto que olvidaron fue validar si el que manda el sms verdaderamente es el dueño de la cuenta, pues no se puede confiar en la autenticidad del remitente del sms, pues por que como lo decía en otro post, se puede spoofear!!!, ósea falsificar el remitente, entonces que sucede si yo falsifico un sms con el numero de pepito y lo mando al servicio de taiper, entonces yo podré publicar en el muro de facebook y twitter que es propiedad de pepito ( lógicamente pepito tendría que estar registrado en taiper duh).

POC:

Primero mandamos un sms falso desde Lleida con el numero de la victima ( yo :D):

Y luego vemos que efectivamente se publica en la cuenta de twitter:

Lo mismo pasa con Facebook:

Una posible solución seria otorgar un pin a los usuarios y a la hora de postear tengan que también mandar el pin adelante de todo el mensaje, esa si seria una forma de validar.

Espero que se solucione esto pronto , pues este servicio aun me sigue interesando y se que a muchos también, saludos.


Carlos Ganoza

Software engineer with more than 6 years of experience, I have been involved in different aspects of software development, InfoSec and open-source. I <3 Python.