Tarde movidita para los muchos usuarios de Tweetdeck, una de las aplicaciones más utilizadas por los usuarios de Twitter para gestionar múltiples listas y cuentas. Al parecer y por los múltiples avisos que hemos venido recibiendo en nuestro laboratorio en las últimas horas, se ha descubierto una vulnerabilidad en TweetDeck para el navegador Chrome que permitiría a un atacante ejecutar código javascript malicioso con tan solo visualizar un tweet creado con unos parámetros especiales (lo que se conoce como XSS).
Muchos de los usuarios han comenzado a ver como se abrían ventanas mostrando mensajes variados. Algunos de ellos avisaban precisamente de esta vulnerabilidad pero ya se han empezado a ver otros con una finalidad no tan loable.
Hasta el momento se ha confirmado la existencia de esta vulnerabilidad en la versión de Tweetdeck disponible para Google Chrome bajo Windows, aunque no se descarta la posibilidad que afecte a otras versiones en diferentes sistemas o incluso a la propia versión que se puede utilizar sin necesidad de navegador.
Tras el revuelo formado por esta vulnerabilidad, TweetDeck ha tardado poco en reaccionar avisando de que esta vulnerabilidad había sido solucionada (aunque luego veremos como no ha sido así). Aparentemente, los usuarios tan solo tenían que cerrar sesión en su cuenta y volverla a abrir para poder aplicar el parche que la soluciona.
Sin embargo, tras aplicar este parche, aun son muchos los usuarios que siguen observando como se muestran mensajes de alerta por lo que Tweetdeck ha decidido inhabilitar la aplicación hasta que realice una investigación más a fondo y averigüe que está sucediendo exactamente.
Hasta que todo esto se aclare recomendamos encarecidamente revocar los permisos de la aplicación accediendo a nuestra cuenta de Twitter, apartado de Configuración > Aplicaciones y pulsando sobre el botón «Revocar acceso».
Actualización 1: Ya se están empezando a ver casos de usuarios que se aprovechan de esta vulnerabilidad con diferentes finalidades. A continuación vemos como, utilizando un script, un usuario ha conseguido casi 40.000 retweets en menos de 5 minutos (y subiendo) entre los usuarios de Tweetdeck:
Otro ejemplo del aprovechamiento de esta vulnerabilidad es el que están realizando algunos usuarios para hacer un «rickrolling» a los usuarios de la aplicación vulnerable:
De momento aun no hemos visto que alguien aproveche esta vulnerabilidad para propagar malware pero estaremos alerta por si se produce este escenario.
Actualización 2: Tras unas horas de duro trabajo, TweetDeck anunció anoche que había solucionado esta vulnerabilidad y todos los servicios habían vuelto a la normalidad.