Un bug en la app de Twitter para Android permitió conseguir millones de números de teléfono de sus cuentas

Puede que Twitter no se haya visto arrastrado a grandes escándalos políticos y de privacidad de la forma en que lo ha hecho Facebook, pero tiene su cuota de dolores de cabeza.

La mayoría de ellos se derivan de problemas técnicos, también conocidos como bugs, que filtran la información de los usuarios cuando no deberían. El último parece ser un fallo elemental que podría hacer coincidir los números de teléfono con los usuarios simplemente subiendo una lista masiva de números generados al azar a través de la aplicación de Twitter en Android.

La vulnerabilidad fue descubierta y probada por el investigador de seguridad Ibrahim Balic en el transcurso de dos meses. Balic generó millones de números de teléfono y los ordenó en orden no secuencial para evitar las medidas de seguridad de Twitter diseñadas para bloquear exactamente ese tipo de intento de pesca. Aparentemente, fue así de fácil activar el micrófono.

Twitter permitía a los usuarios subir los números de contacto para comprobar si tienen cuentas de Twitter y conectarlos. Balic fue capaz de hacer coincidir 17 millones de números de teléfono generados con cuentas de usuarios de Twitter, algunos de los cuales fueron confirmados por TechCrunch. El problema al aprecer no estaba presente en la interfaz web de Twitter.

Balic no informó del asunto a Twitter, sino que alertó a los usuarios afectados en un grupo de WhatsApp. Dice que Twitter bloqueó los intentos el 20 de diciembre y un portavoz de la compañía confirmó que suspendió las cuentas que explotaban el sistema de esta forma. No confirmó el fallo real ni las medidas que ha tomado para garantizar que la función de carga de contactos no se vuelva a explotar de esa manera.

Este exploit puede no estar relacionado con el que Twitter anunció públicamente esta semana y que también afecta a la aplicación Android. Eso fue descrito más como un bug que necesitaba una inyección de código más activa en lugar de abusar de las características que el propio Twitter proporciona. Sin embargo, se une a la lista de vulnerabilidades de Twitter reportadas este año, algunas de las cuales sólo afectan a la app para Android de la red social.