Páginas

Vulnerabilidad en Taiper.com

¿Qué es Taiper?

Taiper es un servicio creado por jóvenes peruanos para facilitarnos la vida a todos los twitteros dándonos la posibilidad de twittear y cambiar el estado del facebook via sms.

Aunque no lo e usado mucho reconozco su utilidad para muchos twitteros ya que fue una idea innovadora, pues taiper comenzó antes de que salgan los servicios de movistar para postear en twitter y facebook.

Personalmente no sabia que seguía funcionando , porque luego que salió el servicio de movistar anunciaron su cambio de servicio y todo eso ( me sentí desilusionado por que recién comenzaba a usar el servicio) y tengo claro y no movistar.

Bueeeno vallamos a la acción:

Taiper te permite postear en tu twitter y facebook de la siguiente manera:

1.- te registras.

2.- das permisos a la aplicación para que publique en tu Twitter o Facebook.

3.- mandas un sms a el numero de celular que ellos te brindan y tu publicación aparecerá en tu muro .

El punto que olvidaron fue validar si el que manda el sms verdaderamente es el dueño de la cuenta, pues no se puede confiar en la autenticidad del remitente del sms, pues por que como lo decía en otro post, se puede spoofear!!!, ósea falsificar el remitente, entonces que sucede si yo falsifico un sms con el numero de pepito y lo mando al servicio de taiper, entonces yo podré publicar en el muro de facebook y twitter que es propiedad de pepito ( lógicamente pepito tendría que estar registrado en taiper duh).

POC:

Primero mandamos un sms falso desde Lleida con el numero de la victima ( yo :D):

Y luego vemos que efectivamente se publica en la cuenta de twitter:


Lo mismo pasa con Facebook:



Una posible solución seria otorgar un pin a los usuarios y a la hora de postear tengan que también mandar el pin adelante de todo el mensaje, esa si seria una forma de validar.

Espero que se solucione esto pronto , pues este servicio aun me sigue interesando y se que a muchos también, saludos.

5 comentarios:

Jheison dijo...
Este comentario ha sido eliminado por el autor.
Jheison dijo...

buen post =) asi ya no tendremos que comprar celulares que rodean los 900 nuevos soles xD

Brekiaz dijo...

interesanto :B

† David der Nacht † dijo...

Genial! descubriste una vulnerabilidad! y les comunicaste esto a los de Taiper.com? tal vez te premien con algo

Saludos cordiales.

Dr. NeoX dijo...

Hola David , gracias por el comentario, si lo reporte y desde que tengo uso de razon no me respondieron haha

Los mejores blog del mundo

Sigueme

Las mas bonitas