Android

Οι ερευνητές κάνουν το Wormy Attack στο Twitter

Wana Decrypt0r (Wanacry Ransomware) - Computerphile

Wana Decrypt0r (Wanacry Ransomware) - Computerphile
Anonim

Η επίθεση που δημοσιεύθηκε την Πέμπτη από τους ερευνητές της Secure Science είναι μια αβλαβής απόδειξη της έννοιας που αναγκάζει τους χρήστες να στείλουν ένα προκαθορισμένο twitter μήνυμα, αλλά θα μπορούσε να επαναπροσανατολιστεί σε ένα πολύ άσχημο σκουλήκι, δήλωσε ο Lance James, επικεφαλής επιστήμονας με την Secure Science.

"Μπορείτε να κάνετε ζευγάρι μια επίθεση με τον κώδικα μας και απλά να σχίσει τα crap από Twitter", είπε.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Το hack είναι παρόμοιο με μια επίθεση clickjacking που έκανε τους γύρους στο Twitter τον περασμένο μήνα. Εκεί, οι χάκερ χρησιμοποίησαν μια ύπουλη τεχνική για να εξαπατήσουν τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο χωρίς να το καταλάβουν. Αυτός ο σύνδεσμος θα δημοσιεύσει το μήνυμα Twitter λέγοντας "μην κάνετε κλικ" μαζί με μια διεύθυνση URL.

Αυτή τη φορά, οι ερευνητές της Secure Science βρήκαν έναν τρόπο να επωφεληθούν από ένα σφάλμα προγραμματισμού στο Web στον ιστότοπο υποστήριξης του Twitter για να δημοσιεύσουν το ανεπιθύμητο μήνυμα. Μετά από ένα προειδοποιητικό μήνυμα, ο κώδικας δοκιμής της Secure Science δημοσιεύει το μήνυμα: "@XSSExploits Μόλις πήρα την ιδιοκτησία!" στο προφίλ του θύματος.

Ένας κακόβουλος χρήστης θα μπορούσε να κάνει πολύ χειρότερα με αυτό το σφάλμα, ωστόσο, είπε ο James. Η επίθεση θα μπορούσε να τροποποιηθεί έτσι ώστε να μην υπάρχει προειδοποιητική οθόνη και θα μπορούσε να ενισχυθεί με ένα συγκλονιστικό μήνυμα ότι οι χρήστες θα ήταν πιο πιθανό να κάνουν κλικ. Σε συνδυασμό με τον κακόβουλο κώδικα επίθεσης του προγράμματος περιήγησης, θα μπορούσε να χρησιμοποιηθεί για να πάρει τον έλεγχο των μηχανών των θυμάτων, είπε ο James.

«Κρατάω την αναπνοή μου ελπίζοντας ότι κανείς δεν κάνει κάτι ανόητο αυτή τη στιγμή».

Το Twitter θα μπορούσε να απενεργοποιήσει την επίθεση, καθορίζοντας το ελάττωμα δέσμης ενεργειών σταυροειδών τοποθεσιών που εκμεταλλεύονται οι ερευνητές της Secure Science, αλλά αν εμφανιστεί ένα άλλο παρόμοιο σφάλμα στην τοποθεσία, οι χρήστες θα αντιμετωπίσουν το ίδιο πρόβλημα ξανά. Το ζήτημα επιδεινώνεται από το γεγονός ότι λόγω του ορίου του 140 χαρακτήρων του Twitter, οι Twitterers χρησιμοποιούν συντομευμένους ιστότοπους όπως το Tinyurl.com και συχνά δεν έχουν ιδέα εάν κάνουν κλικ σε έναν αξιόπιστο σύνδεσμο στο Web, λέει ο James. οι πρακτικές ασφαλείας έχουν επικεντρωθεί πρόσφατα καθώς η υπηρεσία έχει κερδίσει τη δημοφιλή δημοτικότητα. Τον Ιανουάριο, η εταιρεία διενήργησε πλήρη επισκόπηση ασφαλείας αφού οι χάκερ απέκτησαν πρόσβαση στους λογαριασμούς του εκλεγέντος Προέδρου Barack Obama, του Fox News και του CNN.

Ο James είπε ότι ελπίζει ότι η επίδειξή του θα ωθήσει το Twitter να καταστήσει την ασφάλεια προτεραιότητα.

"Δεν θέλουμε να προκαλέσουμε ζημιά στο Twitter", είπε.