Breaking Through The (Google) Glass Ceiling by Christopher Bartholomew
Ένα χαρακτηριστικό στο Twitter API μπορεί να καταστρατηγηθεί από τους επιτιθέμενους για να ξεκινήσουν αξιόπιστες επιθέσεις κοινωνικής μηχανικής που θα τους έδιναν πολλές πιθανότητες να καταλάβουν τους λογαριασμούς χρηστών, αποκάλυψε ένας κινητός προγραμματιστής εφαρμογών την Τετάρτη στο συνέδριο ασφάλειας του Hack in the Box στο Άμστερνταμ. με τον τρόπο με τον οποίο το Twitter χρησιμοποιεί το πρότυπο OAuth για να εξουσιοδοτήσει τις εφαρμογές τρίτων, συμπεριλαμβανομένων των υπολογιστών-πελατών και των επιτραπέζιων υπολογιστών Twitter, να αλληλεπιδρούν με τους λογαριασμούς χρηστών μέσω του API, του Nicolas Seriot, Το Twitter επιτρέπει στις εφαρμογές να καθορίζουν μια προσαρμοσμένη διεύθυνση URL επιστροφής χρηστών, στην οποία οι χρήστες θα ανακατευθύνονται, αφού παραχωρήσουν πρόσβαση σε αυτές τις εφαρμογές στους λογαριασμούς τους μέσω μιας σελίδας εξουσιοδότησης στον ιστότοπο του Twitter
[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows]
Το Seriot βρήκε έναν τρόπο δημιουργίας ειδικών συνδέσμων που, όταν κάνουν κλικ από χρήστες, θα ανοίξουν σελίδες εξουσιοδότησης εφαρμογής Twitter για δημοφιλείς πελάτες όπως το TweetDeck. Ωστόσο, τα αιτήματα αυτά θα διευκρινίζουν το διακομιστή του εισβολέα ως διευθύνσεις callback, αναγκάζοντας τους browsers των χρηστών να στέλνουν τα εισερχόμενα αναγνωριστικά του Twitter στον εισβολέα.Το διακριτικό πρόσβασης επιτρέπει την πραγματοποίηση ενεργειών με το σχετικό λογαριασμό μέσω του API Twitter χωρίς την ανάγκη έναν κωδικό πρόσβασης. Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει τέτοια μάρκες για να δημοσιεύσει νέα μηνύματα για λογαριασμό των συμβιβασθέντων χρηστών, να διαβάσει τα προσωπικά μηνύματά τους, να τροποποιήσει την τοποθεσία που εμφανίζεται στα tweets τους και πολλά άλλα.
Η παρουσίαση κάλυψε ουσιαστικά τις συνέπειες της ασφάλειας από την αποδοχή προσαρμοσμένων επιστροφών τη χρήση αυτής της δυνατότητας για να μετατραπεί σε νόμιμους και αξιόπιστους πελάτες του Twitter, προκειμένου να κλέψουν τις μάρκες πρόσβασης χρήστη και να καταλάβουν τους λογαριασμούς, δήλωσε ο Seriot.
Ένας εισβολέας θα μπορούσε να στείλει ένα email με έναν τόσο δημιουργημένο σύνδεσμο στον διαχειριστή κοινωνικών μέσων μιας σημαντικής εταιρείας ή ο οργανισμός ειδήσεων που προτείνει, για παράδειγμα, ότι είναι ένας σύνδεσμος για να ακολουθήσετε κάποιον στο Twitter.
Όταν κάνετε κλικ στον σύνδεσμο, ο στόχος θα βλέπει μια σελίδα Twitter προστατευμένη από SSL που θα του ζητά να εξουσιοδοτήσει το TweetDeck, το Twitter για iOS ή κάποια άλλα δημοφιλή πελάτη Twitter, για να αποκτήσετε πρόσβαση στο λογαριασμό του. Εάν ο στόχος χρησιμοποιεί ήδη τον κωδικοποιημένο πελάτη, ενδέχεται να πιστεύει ότι η εξουσιοδότηση που έχει χορηγηθεί προηγουμένως έχει λήξει και πρέπει να γίνει εκ νέου έγκριση της εφαρμογής.
Κάνοντας κλικ στο κουμπί "Εξουσιοδότηση" θα εξαναγκαστεί ο περιηγητής του χρήστη να στείλει το διακριτικό πρόσβασης ο διακομιστής του εισβολέα, ο οποίος θα ανακατευθύνει τον χρήστη πίσω στην ιστοσελίδα του Twitter. Ο χρήστης δεν θα δει κανένα σημάδι για κάτι κακό, δήλωσε ο Seriot
Για να επιτελέσει μια τέτοια επίθεση και να σχεδιάσει τους ειδικούς συνδέσμους, ο επιτιθέμενος θα πρέπει να γνωρίζει τα Twitter API tokens για τις εφαρμογές που επιθυμεί να μιμηθεί. Οι προγραμματιστές έχουν δημιουργήσει μια βιβλιοθήκη OAuth ανοικτού κώδικα για Mac OS X που μπορεί να χρησιμοποιηθεί για να αλληλεπιδράσει με το API Twitter και να δημιουργήσει συνδέσεις εξουσιοδότησης απατεώνων URL επαναφοράς. Ωστόσο, η βιβλιοθήκη, η οποία ονομάζεται STTwitter, κατασκευάστηκε για νόμιμους σκοπούς και αποσκοπεί στην προσθήκη υποστήριξης Twitter στο Adium, ένα δημοφιλές πελάτη πολλαπλών πρωτοκόλλων για Mac OS X.
Σύμφωνα με το Seriot, το Twitter θα μπορούσε να αποτρέψει τέτοιες επιθέσεις από απενεργοποιώντας τη λειτουργία επανάκλησης από την εφαρμογή OAuth. Ωστόσο, δεν πιστεύει ότι η εταιρεία θα το κάνει αυτό, γιατί είναι τεχνικά ένα νόμιμο χαρακτηριστικό που χρησιμοποιείται από ορισμένους πελάτες.
Το Twitter δεν απάντησε αμέσως σε ένα αίτημα για σχολιασμό που στάλθηκε την Πέμπτη
Για τους πρώτους υιοθετώντες του Twitter που έχουν περάσει για λίγο, η διάρκειας δύο ωρών διακοπής του Twitter σήμερα το πρωί μπορεί να μην φαίνεται ασυνήθιστη. Αυτό που κάνει την διακοπή αυτή την πρωινή διαφορά από τις προηγούμενες αποτυχίες είναι ότι αυτή τη φορά το Twitter έπεσε θύμα μιας επίθεσης άρνησης υπηρεσίας. Το Twitter έχει επεκτείνει την ικανότητά του να φιλοξενεί τον κανονικό όγκο χρηστών και tweets, αλλά υπάρχει ακόμα ένα μέγιστο που είναι σε θέση να διαχειριστεί. Ένας επιτιθέμενος
Αυτό που ενδιαφέρει είναι η απάντηση στο Twitter που βρίσκεται κάτω. Εχει σημασία? Η συζήτηση σχετικά με το εάν οι χρήστες θα πρέπει να έχουν πρόσβαση ακόμη και σε ιστότοπους κοινωνικής δικτύωσης όπως το Twitter από εταιρικά ή κυβερνητικά δίκτυα. Οι πεζοναύτες απαγόρευσαν την κοινωνική δικτύωση για το επόμενο έτος και το NFL απαγόρευσε ειδικά το Twitter. Πολλοί οργανισμοί εξακολουθούν να προσπαθούν να θεσπίσουν πολιτικές σχετικά με την αποδεκτή χρήση της κοινωνικής δικτύωσης σε χρόνο επιχείρησης
1. Το Twitter επιβεβαίωσε την επίθεση DOS την ίδια ημέρα με το Twitter και το Twitter που εξακολουθούν να αγωνίζονται για την ανάκαμψη από το DOS Attack ·: Οι ιστότοποι κοινωνικής δικτύωσης Το Facebook και το Twitter έκαναν ξυλοδαρμό αυτή την εβδομάδα, αφού και οι δύο υποβλήθηκαν σε επίθεση DOS. Το Twitter παρέμεινε για δύο ώρες την Πέμπτη και εξακολουθούσε να υποφέρει από τις επιθέσεις την Παρασκευή. Το Facebook ανέφερε ότι οι χρήστες είχαν πρόβλημα να έχουν πρόσβαση στην τοποθεσία την Πέμπτη,
2. Ο CEO της Google παραιτείται από το συμβούλιο της Apple: Η Google και η Apple γνώρισαν μια διαγραφή των τρόπων τη Δευτέρα, όταν ο CEO της Google Eric Schmidt παραιτήθηκε από το διοικητικό συμβούλιο της Apple. Η Schmidt και η εκτελεστική εξουσία της Apple, Steve Jobs, αποφάσισαν αμοιβαία, ανέφερε η Apple. Οι πρόοδοι της Google στους χώρους OS και κινητού τηλεφώνου την προσεγγίζουν πιο κοντά στις κύριες επιχειρήσεις της Apple, μειώνοντας την αποτελεσματικότητα του Schmidt στο διοικητικό συμβούλ
Όσον αφορά τα στοιχεία του Microsoft Office, περιέχουν τις περισσότερες γενικές ρυθμίσεις που μπορεί να χρειαστεί ένας χρήστης. Αυτό σημαίνει ότι δεν είναι όλες οι λειτουργίες σημαντικές για έναν μόνο χρήστη. Συνεπώς, εάν δεν σας αρέσει ένα χαρακτηριστικό, αυτό δεν σημαίνει ότι είναι άχρηστο, κάποιος άλλος χρήστης μπορεί να το θεωρήσει χρήσιμο. Έτσι, σε αυτή την περίπτωση, οι χρήστες μπορούν να επιλέξουν να απενεργοποιήσουν αυτό το χαρακτηριστικό. Σήμερα θα δούμε πώς μπορείτε να απενεργοποιήσετε
Πιο πρόσφατα χρησιμοποιημένων γραμματοσειρών