Off-by-one 2.0

La vulnerabilidad “off-by-one” es un concepto viejo. Esta es la descripción que ofrece Wikipedia:

Un error “off-by-one” (OBOE) es un error lógico del equivalente diferenciado de una condición de límites. A menudo ocurre en programación que un “loop” iterativo se repite una vez más o menos de las que debería. Por lo general este problema aparece cuando un programador no toma en cuenta que una secuencia comienza en “cero” en vez de “uno” (como los índices de array en muchos idiomas), o cometen errores como utilizar “es menor o igual que” en vez de “es menor que” en una comparación.

Un error parecido puede causar un DOS y hasta, en algunos casos, ejecución de código. Hay muchos recursos en Internet que describen la explotación de “desbordamiento de montículo off-by-one”.

Pero…¿Por qué “Off-by-one 2.0”?

Mientras leía las novedades de mis contactos en Twitter, noté algo muy interesante. Un tweet de una cuenta corporativa oficial incluía una URL corta (bit.ly) que dirigía a un sitio que descargaba una aplicación potencialmente indeseada.

Si ven la captura de pantalla con detenimiento, notarán que hay dos enlaces bit.ly muy similares. A uno de ellos le falta la letra “d”, por eso el título “Off-by-one 2.0”.

Debido un simple error al copiar el enlace, la nueva URL dirige a un sitio muy diferente. Fui precavido y revisé el sitio web http://web-sniffer.net.

Este es el sitio web que aparece cuando sigues el tweet original:

Como dice el nombre de dominio, es un sitio con juegos de preguntas y respuestas, pero parece sospechoso. He visto muchos sitios como este que perjudican a los usuarios.

Por eso lo investigué y pulsé en uno de sus cuestionarios al azar:

Acepté la solicitud para comenzar el cuestionario, pero lo hice desde un ordenador de pruebas y una cuenta de Twitter especial. Te anuncian con claridad que, si te unes, comenzarás a seguir su cuenta de Twitter.

De forma inesperada, aparecí otra vez en Twitter y me pidieron autorización para que una aplicación tuviera acceso a mi cuenta de Twitter, como pueden ver abajo:

Desde mi cuenta de pruebas, acepté la solicitud de la aplicación y me redirigieron al juego de preguntas y respuestas que me habían ofrecido antes:

¿Qué hizo la aplicación?

Cuando acepté que la aplicación se instalara, le permití que leyera y escribiera en mi cuenta de Twitter, como pueden ver abajo:

Tan pronto como la aplicación tuvo el acceso, comenzó a seguir la cuenta de Twitter “lolquiz”. El sitio web advertía sobre este comportamiento en un mensaje con letras muy pequeñas, que no había visto la primera vez que entré.

Mi cuenta de pruebas ahora está siguiendo a los autores de esta aplicación potencialmente indeseada.

¡Pueden ver que esa cuenta tiene más de 300.000 seguidores! Todos ellos son usuarios que instalaron la aplicación y le concedieron acceso a sus cuentas. Estoy seguro de que la mayoría no leyó las letras chicas de la aplicación sobre la característica que hace que se siga las actividades de este usuario desconocido.

Todavía no había publicado nada en Twitter. Así que comencé a responder las preguntas del juego para ver si después sucedía algo:

Cuando respondes las preguntas desde su sitio web, la aplicación publica un tweet con los resultados del juego. Si tus contactos se interesan y quieren realizar el cuestionario, deben permitir que tenga acceso a su cuenta de Twitter y, una vez más, comenzarán a seguir de forma automática a “lolquiz” y publicarán las respuestas en su cuenta de Twitter, así que la aplicación se propaga de forma viral.

Noté otra cosa interesante: el autor de la aplicación está siguiendo a otras dos cuentas de Twitter similares.

Una búsqueda sencilla en Twitter reveló muchas publicaciones similares de los usuarios:

La verdadera intención de esta aplicación no está clara. No es maliciosa (por ahora), pero es potencialmente indeseada.

Dicen que puedes dejar de seguirlos, pero no mencionan que aun así la aplicación seguirá instalada y con permiso para leer y escribir en tu cuenta de Twitter. Ofrecen una opción para desligarse de los mensajes directos (DM), pero esto no desinstala la aplicación ni detiene la característica para publicar tweets de forma automática.

Estas aplicaciones de cuestionarios son muy comunes en Facebook, y parece que ahora también están invadiendo Twitter. Es posible que este cuestionario haya estado funcionando desde 2009.

Si los autores de esta aplicación alteraran su sitio web para hacer algo más peligroso (o si comenzaran a distribuir enlaces maliciosos), esto podría convertirse en un problema más serio que afectaría a cientos de miles de personas. Ellos pueden publicar lo que quieran desde tu cuenta.

Mi anterior entrada del blog sobre este tema “Un nuevo gusano de Twitter redirige a un antivirus fraudulento”, es un buen ejemplo de lo que puede llegar a suceder.

Creo que esto comprueba lo peligrosos que son los servicios para acortar URLs, ya que un simple error al copiar un enlace puede hacer que aparezcas en un sitio web muy diferente, mientras que en una URL normal, la mayoría de las veces aparecería el mensaje “404 – Página no disponible”.