Welcome to Life: the singularity, ruined by lawyers
תכונה ב- API API (תכנות יישומים ממשק) יכול להתעלל על ידי התוקפים להשיק התקפות הנדסה חברתית אמינה כי ייתן להם סיכוי גבוה לחטוף חשבונות משתמשים, מפתח יישומים ניידים גילה יום רביעי ב האק בפאנל אבטחה תיבת באמסטרדם.
הבעיה צריכה לעשות עם האופן שבו טוויטר משתמש בתקן OAuth כדי לאשר אפליקציות של צד שלישי, כולל לקוחות שולחניים או ניידים ב- Twitter, לקיים אינטראקציה עם חשבונות משתמשים באמצעות ממשק ה- API שלו, ניקולס סריוט, אספסוף מנהל אפליקציות אייל ומנהל פרויקטים בבנק השוויצרי בשוויץ, אמר ביום חמישי.
Twitter מאפשר לאפליקציות לציין כתובת אתר חוזרת להתקשרות, שבה משתמשים ינותבו לאחר הענקת האפליקציות האלה לחשבונות שלהם באמצעות דף הרשאה באתר של Twitter. > [לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]
Seriot מצא דרך לעצב קישורים מיוחדים, כאשר לוחצים על ידי משתמשים, יפתחו דפי אישור של אפליקציות טוויטר עבור לקוחות פופולריים כגון TweetDeck. עם זאת, בקשות אלה יפרטו את השרת של התוקף ככתובת אתר להתקשרות חוזרת, ואילצו את הדפדפנים של המשתמשים לשלוח את אסימוני הגישה של Twitter אל התוקף.אסימון הגישה מאפשר לבצע פעולות עם החשבון המשויך דרך ממשק ה- API של Twitter ללא צורך סיסמה. תוקף יכול להשתמש באסימונים כאלה כדי לפרסם טוויטים חדשים בשם המשתמשים שנפגעו, לקרוא את ההודעות הפרטיות שלהם, לשנות את המיקום המוצג בטוויטים שלהם ועוד.
המצגת עסקה במהותה בהשלכות האבטחה של מתן אפשרות להתקשרות מותאמת אישית ותיאור שיטה של שימוש בתכונה זו כדי להתחזות ללקוחות לגיטימיים ואמינים של טוויטר על מנת לגנוב אסימונים של משתמשים וגניבת חשבונות, אמר סריו.
תוקף יכול לשלוח הודעת דוא"ל עם קישור בעל מבנה כזה למנהל המדיה החברתית של חברה חשובה או ארגון חדשות המציע, למשל, שמדובר בקישור כדי לעקוב אחר מישהו בטוויטר.
בעת לחיצה על הקישור, היעד יראה דף טוויטר מוגן באמצעות SSL המבקש ממנו לאשר את TweetDeck, Twitter עבור iOS או אחר לקוח Twitter פופולרי, כדי לגשת לחשבון שלו. אם היעד כבר משתמש בלקוח המתחזה, הוא עלול להאמין שההרשאה שניתנה בעבר, והם צריכים לאשר מחדש את האפליקציה.
לחיצה על הלחצן "אישור" תאלץ את הדפדפן של המשתמש לשלוח את אסימון הגישה אל השרת של התוקף, אשר לאחר מכן היה להפנות את המשתמש בחזרה לאתר Twitter. המשתמש לא יראה שום סימן למשהו רע, אמר סריו.
כדי לבצע פיגוע כזה ולעצב את הקישורים המיוחדים מלכתחילה, התוקף יצטרך לדעת את אסימוני ה- API של Twitter עבור היישומים שהוא רוצה להתחזות. אלה הם בדרך כלל hardcoded ביישומים עצמם ניתן לחלץ בכמה דרכים, אמר Seriot.
היזם בנוי קוד פתוח OAuth הספריה עבור Mac OS X, שניתן להשתמש בהם כדי לתקשר עם API API ו ליצור קישורים הרשאה עם כתובות URL חוזרות. עם זאת, הספרייה, הנקראת STTwitter, נבנתה למטרות לגיטימיות והיא נועדה להוסיף את תמיכת טוויטר לאדיום, לקוח צ'אט פופולרי רב-פרוטוקולי עבור Mac OS X.
לדברי Seriot, Twitter עלולה למנוע התקפות כאלה על ידי השבתת פונקציונליות התקשרות מיישום OAuth שלה. עם זאת, הוא אינו מאמין כי החברה תעשה זאת, כי זה מבחינה טכנית תכונה לגיטימית המשמשת את הלקוחות.
טוויטר לא מיד להגיב לבקשה תגובה שנשלחו ביום חמישי.
התקפת דואר אלקטרוני מנצלת את הפגיעות באתר Yahoo כדי לחטוף חשבונות
האקרים שמאחורי קמפיין התקפות דוא"ל שהתגלו לאחרונה מנצלים פגיעות באתר של Yahoo לחטוף את חשבונות הדוא"ל של משתמשי יאהו ולהשתמש בהם עבור דואר זבל, על פי חוקרי אבטחה של יצרנית האנטי וירוס Bitdefender.
תוכנת Bitcoin של תוכנות זדוניות מתפרסמת על סקייפ, אומר החוקר <קמפיין ספאם על סקייפ מפיץ תוכנות זדוניות עם יכולות הכרייה של Bitcoin. מ - Kaspersky Lab זיהו קמפיין של דואר זבל על סקייפ, שמפיץ חתיכת תוכנה זדונית עם יכולות הכרייה של Bitcoin.
Bitcoin (BTC) הוא מטבע דיגיטלי מבוזר שראה גל של פופולריות מתחילת השנה וכיום מסחר בסכום של מעל 130 דולר ליחידה, מה שהופך אותו להשקעה אטרקטיבית עבור סוחרי מטבע לגיטימיים, אבל גם פושעי אינטרנט.
טוויטר לעומת טוויטר: שני אפליקציות טוויטר פופולריות ל- IOS השוו
השוואה בין לקוח הטוויטר הפופולרי ביותר של ה- iPhone (Tweetbot) לבין ההצעה הרשמית בחינם של טוויטר.