O código de ataque publicado na quinta-feira (19/03) é um teste conceitual que força usuários a enviar uma mensagem pré-determinada no Twitter. A mensagem pode ser usada para espalhar uma praga virtual que pode gerar o controle da máquina da vítima, afirmou Lance James, cientista chefe da Secure Science.
O código é similar a um ataque de 'clickjacking' que circulou no Twitter em fevereiro. Na época, crackers usaram uma técnica para convencer os usuários a clicarem em um link sem perceber. O link enviava uma mensagem no Twitter dizendo "don't click" ("Não clique") acompanhada de uma URL.
Desta vez, os pesquisadores da Secure Science descobriram como tirar vantagem de um erro de programação no site de suporte do Twitter para incluir a mensagem indesejada. Após uma mensagem de alerta, o código de teste da Secure Science exibe a seguinte mensagem: "@XSSExploits I just got owned!" no perfil da vítima.
James alerta que a falha pode ser usada por um invasor mal-intencionado para eliminar a tela de alerta e usar uma mensagem sensacionalista para atrair cliques. Se combinada a um código de ataque a um browser, a ameaça pode até controlar as máquinas da vítimas.
O cientista disse que o código não tem a intenção de afetar o Twitter, mas alertar a empresa para a segurança do microblog. O próprio perfil do serviço - mensagens de no máximo 140 caracteres - exige a publicação de URLs curtas, como no gerador Tinyurl.com. Ao clicar nestes links, geralmente o usuário não tem ideia do site acessado.
A segurança do Twitter tem sido motivo de preocupação desde que o site ganhou popularidade. Em janeiro, o serviço instituiu uma revisão geral de segurança após as invasões das contas do presidente dos Estados Unidos, Barack Obama, das redes Fox News e CNN.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário