Twitter je zřejmě děravý podobně jako Facebook

23. 3. 2009

Sdílet

Výzkumníci společnosti Secure Science popsali možný útok proti mikroblogovacímu systému Twitter. Publikovali ho zatím ve verzi proof-of-koncept, nicméně tento postup může podle nich vytvořit skutečnou epidemii.

 

Útok nese určité shodné rysy s clickjackingem (Clickjacking: Nová kategorie zranitelností); toto narušení Twitter postihlo minulý měsíc. Vlastní zranitelnost má být na webu podpory, kde programátorská chyba umožňuje poslat určitý text do profilu zvolené oběti. Každopádně lze tímto způsobem dostat do systému hlášení, která vypadají jako generované systémem Twitteru (vlastně jde tedy o chybu typu cross site scripting). Uživatel pak na podobný odkaz téměř jistě klepne a útočník ho tak dostane na libovolné URL. Pak může následovat phishing nebo třeba rovnou pokus zneužít nějakou softwarovou zranitelnost webového prohlížeče – bez toho, aby uživatel musel provést jakoukoliv další akci.

V Twitteru se navíc používají zkrácené verze adres, takže uživatel nemůže pořádně vědět, kam odkaz vede.

Už v lednu útočníci demonstrovali, jak lze v Twitteru získat přístup k účtu Barracka Obamy, Fox News nebo CNN (Twitter: útočníci ovládli i účet Baracka Obamy). Shrnuto, s tím, jak Twitter získává na popularitě, bude zřejmě následovat osud Facebooku. Útoky a nové zranitelnosti budou na denním pořádku (ostatně i v popsaném případě podle výzkumníků dost záleží na architektuře/návrhu celého systému a i když bude konkrétní zranitelnost cross site scripting odstraněna, nebude nejspíš problém nalézt nějakou podobnou) a aplikace bude představovat jediné obří bezpečnostní riziko (Na záchranu Facebooku je letos už pozdě?).

 

ICTS24

Zdroj: Computerworld.com