Kutatók fenyegető Twitter támadást

Számítógép-biztonsági kutatók kidolgoztak egy új Twitter támadás, amelyről azt mondják, virtuálisan terjedhet, mint egy féreg a mikroblog szolgáltatásban.

A támadás, amelyet a Secure Science kutatói online csütörtökön közzétettek, ártalmas bizonyítéka a koncepciónak, amely arra kényszeríti a felhasználókat, hogy előre meghatározott üzeneteket küldjenek, de egy nagyon csúnya féregre repült, mondta Lance James, a Secure Science tudomány vezetője.

"A kóddal támadhatunk egy támadást, és egyszerűen elszakítaná a cukrot a Twitterből" - mondta.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A hack hasonlít egy kattintás-támadási támadásra, amely a Twitter-en a múlt hónapban készült körökben történt. A hackerek egy csekély technikát használtak a felhasználók számára, hogy rákattintanak a linkre anélkül, hogy felismernék. Ez a link elküldi a Twitter üzenetet, mely szerint "ne kattintson" az URL-sel együtt.

Ezúttal a Secure Science kutatói találtak egy módot a webes programozási hibák kihasználására a Twitter támogatási webhelyén a nem kívánt üzenet közzétételéhez. Figyelmeztető üzenetet követően a Secure Science tesztkódja üzenetet jelenít meg: "@XSSExploits, amit most kaptam!" az áldozat profiljához.

A rosszindulatú felhasználó sokkal rosszabbat tehet ezzel a hibával, de James azt mondta. A támadást úgy módosíthatnák, hogy ne legyen figyelmeztető képernyő, és szenzációs üzenettel erősíthető meg, amelyet a felhasználók nagyobb valószínűséggel kattannak. Ha rosszindulatú böngészõk támadási kódjával kombinálnák, fel lehetne használni az áldozatok gépi vezérlését, mondta James.

"Tartom a lélegzetemet, abban a reményben, hogy senki sem csinál valami hülyeséget ebben a pillanatban" - mondta.

A Twitter letilthatja a támadást azáltal, hogy rögzíti a biztonságos tudomány kutatói által kihasználott kereszthelyi szkript hibát, de ha egy másik hasonló hiba jelenik meg a webhelyen, a felhasználók ugyanazokkal a problémákkal szembesülnének újra.

A kérdést még rosszabbá teszi, hogy a Twitter 140 karakteres korlátozása miatt a Twitter felhasználók rövidített internetes linkeket használnak, például a Tinyurl.com-ot, és gyakran fogalmuk sincs róla, hogy egy megbízható internetes linkre kattintanak-e, mondta James. a biztonsági gyakorlatok az utóbbi időben a reflektorfényben vannak, mivel a szolgáltatás általános népszerűségnek örvend. Januárban a vállalat teljes körű biztonsági felülvizsgálatot indított, miután a hackerek hozzáférjenek a megválasztott elnök, Barack Obama, a Fox News és a CNN elnökeihez.

James azt mondta, reméli, hogy bemutatója a Twitter-t a biztonság megteremtésében prioritássá teszi.

"Nem akarunk kárt okozni a Twitterben" - mondta