O bug do aplicativo Twitter para Android correspondia a milhões de números de telefone em contas
O Twitter pode não ter sido arrastado para grandes escândalos políticos e de privacidade do jeito que o Facebook tem sido, mas tem sua parcela justa de dores de cabeça. A maioria deles resulta de problemas técnicos, também conhecidos como bugs, que vazam informações dos usuários quando não deveriam. A mais recente parece ser uma falha quase simples que pode corresponder números de telefone aos usuários, basta enviar uma lista enorme de números gerados aleatoriamente através do aplicativo do Twitter no Android.
A exploração foi descoberta e testada pelo pesquisador de segurança Ibrahim Balic ao longo de dois meses. A Balic gerou milhões de números de telefone e os organizou em ordem não seqüencial para contornar a medida de segurança do Twitter projetada para bloquear exatamente esse tipo de tentativa de pesca. Aparentemente, foi tão fácil disparar o bug.
O Twitter permitiu que os usuários enviassem os números dos contatos para verificar se eles têm contas no Twitter e conectá-los. A Balic conseguiu combinar 17 milhões de números de telefone gerados com contas de usuário do Twitter, algumas das quais foram confirmadas pelo TechCrunch. O grande não estava presente na interface da web do Twitter.
Balic não denunciou o assunto ao Twitter, mas alertou os usuários afetados em um grupo do WhatsApp. Ele diz que o Twitter bloqueou as tentativas em 20 de dezembro e um porta-voz da empresa confirmou que suspendeu as contas que exploravam o sistema dessa maneira. Ele não confirmou o bug real ou as medidas adotadas para garantir que o recurso de upload de contatos não fosse explorável dessa maneira novamente.
Essa exploração pode não estar relacionada àquela anunciada publicamente pelo Twitter esta semana, também afetando o aplicativo Android. Isso foi pintado mais como um bug que precisava de uma injeção de código mais ativa, em vez de abusar dos recursos que o próprio Twitter fornece. Independentemente disso, ele se junta à lista de vulnerabilidades do Twitter relatadas este ano, algumas das quais afetam apenas o aplicativo Android da rede social.
