Browse By

Falha de segurança no Twitter

Anúncios

Twitter

Um ataque ao Twitter, pode ter sido causado por algum tipo de “SCRIPT”, já que foi postado na PCWORLD que o Twitter aceita Scripts. 
O ataque, foi postado online, por investigadores da Secure Science e é uma prova de conceito inócuo que obriga os usuários a enviar uma mensagem predeterminada, mas que poderia ser reutilizadas em um verme muito desagradável, disse Lance James, chefe cientista da Secure Science.

O truque é baseado em clickjacking um ataque semelhante ao que estava fazendo as rondas no Twitter no mês passado. Lá, hackers sneaky usam uma técnica utilizada para enganar usuários para clicar em um link sem perceber. Essa relação seria postar a mensagem dizendo “não clique em” junto com uma URL.
Desta vez, investigadores da Secure Science encontraram uma maneira de tirar partido de um erro de programação Web Twitter sobre o apoio do site para postar as mensagens indesejadas. Após uma mensagem de aviso, o teste de código Secure Science dá lugares a mensagem: “@XSSExploits I just got owned!” para o perfil da vítima.

Um utilizador mal intencionado poderia fazer muito mais com este bug, no entanto, disse James. O ataque pode ser modificado de modo pode não haver aviso na tela, e que poderiam ser reforçadas com uma sensacional mensagem que os usuários seriam mais propensos a clicar. Se fosse combinado com código malicioso para ataque via navegador, ele poderia ser usado para assumir o controle das máquinas das vítimas, disse James.

“Estou esperando minha respiração, ninguém faz algo estúpido, neste momento”, disse ele.

A equipe do Twitter poderia desativar o ataque, pela da falha do cross site scripting  que os investigadores da Secure Science estão a explorar, mas se outro bug for semelhantes ao pop up do site, os usuários seriam confrontados com o mesmo problema tudo de novo.

A segurança do Twitter têm sido o foco das atenções ultimamente, já que o serviço tem vindo a ganhar muita popularidade. Em janeiro, a empresa instituiu uma revisão completa de segurança após hackers ganharam acesso às contas do presidente eleito, Barack Obama, Fox News e CNN.

James disse que espera que a sua demonstração irá empurrar a equipe do Twitter para fazer da segurança uma prioridade.

“Não queremos causar qualquer dano ao Twitter”, disse ele.

Fonte: PCWorld