Le API di Twitter facilitano il propagarsi dei worm

di Gianluca Rini

scritto il

Aviv Raff, specialista nel campo della sicurezza informatica, ha affermato come risultato delle sue ricerche che la tecnologia API utilizzata da Twitter soffre di alcune vulnerabilità che potrebbero permettere a dei malintenzionati di diffondere facilmente worm.

Ad esempio, spiega Raff, il servizio di foto sharing Twitpic.com, che utilizza le API per integrare i dettagli dell’account con il profilo su Twitter, fino a poco tempo fa non filtrava il codice HTML presente nei profili del portale di micro-blogging.

In questo modo l’eventuale codice JavaScript presente nel profilo di un utente di Twitter veniva automaticamente trasferito nell’altra applicazione, ed è facile capire che questo comportamento potrebbe causare gravi conseguenze se il codice contiene riferimenti a malware o costituisce un pericolo per la sicurezza.

Il problema su Twitpic è stato risolto da un po’ di tempo, grazie al filtraggio del codice, ma la stessa vulnerabilità potrebbe essere presente allo stesso modo in altre applicazioni collegate in qualche modo al popolare servizio di micro-blogging che utilizzano le sue API.

Raff tiene comunque a precisare che il problema non riguarda in modo diretto le API di Twitter, che considera rispettose delle regole di sicurezza, ma risiede in un loro non corretto utilizzo. Twitter, dal canto suo, fa sapere che sta cercando di migliorare il personale dell’azienda per focalizzare meglio le risorse sull’aspetto che riguarda la sicurezza del sistema.