Donald Trump en guerre contre Twitter - Reportage #cdanslair 30.05.2020
Twitter API中的一项功能(应用程序编程界面)可能会被攻击者滥用,发起可信的社交工程攻击,这将给他们劫持用户帐号的可能性很高,一名移动应用程序开发人员周三在阿姆斯特丹的Hack in the Box安全会议上透露。
问题必须解决Twitter如何使用OAuth标准授权第三方应用程序(包括桌面或移动Twitter客户端)通过其API API与用户帐户进行交互,Nicolas Seriot,一群暴徒瑞士Swissquote银行的应用程序开发人员和项目经理周四表示,
Twitter允许应用程序指定一个自定义回调URL,通过Twitter网站上的授权页面授予这些应用程序访问其账户的权限后,用户将被重定向。 > [进一步阅读:如何从Windows PC删除恶意软件]
Seriot发现了一种制作特殊链接的方式,当用户点击该链接时,将为TweetDeck等流行客户端打开Twitter应用授权页面。但是,这些请求会将攻击者的服务器指定为回调URL,强制用户的浏览器将其Twitter访问令牌发送给攻击者。访问令牌允许通过Twitter API与相关帐户执行操作,而无需一个密码。攻击者可以使用这些令牌代表被盗用户发布新的推文,阅读他们的私人消息,修改他们的推文中显示的位置等。
演示文稿基本上涵盖了允许自定义回调的安全含义,并描述了一个方法使用此功能伪装成合法和可信的Twitter客户端,以窃取用户访问令牌和劫持帐户,Seriot说。
攻击者可以发送一封电子邮件,其中包含一个制作好的链接给一家重要公司的社交媒体管理器或新闻组织建议,例如,它是链接在Twitter上关注某人。
点击链接时,目标会看到受SSL保护的Twitter页面,要求他授权TweetDeck,Twitter的iOS或其他流行的Twitter客户端,访问他的帐户。如果目标已经在使用模拟客户端,他可能会认为之前授予的授权已过期,他们需要重新授权该应用程序。
单击“授权”按钮将强制用户的浏览器将访问令牌发送给攻击者的服务器,然后将用户重定向到Twitter网站。 Seriot说,用户不会看到有什么不好的事情发生,
为了执行这种攻击并制作特殊链接,攻击者需要知道Twitter API令牌的应用程序希望冒充。这些通常是在应用程序本身中进行硬编码的,并且可以通过多种方式提取,
开发人员为Mac OS X构建了一个开源OAuth库,可用于与Twitter API交互并生成授权链接流氓回调网址。然而,这个名为STTwitter的图书馆是为了合法的目的而建立的,目的是将Twitter支持添加到Adium,这是一种流行的用于Mac OS X的多协议聊天客户端。
根据Seriot的说法,Twitter可以通过禁用其OAuth实现的回调功能。然而,他并不认为该公司会这样做,因为它在技术上是一个被某些客户使用的合法功能。
Twitter没有立即回复周四发送的评论请求
IE利用分发了PlugX恶意软件,研究人员称
来自安全厂商AlienVault的研究人员发现了一种最近发现的用于感染目标计算机与PlugX远程访问木马程序
Facebook的手机搜索可能被滥用以查找人的号码,研究人员称
攻击者可以滥用Facebook的手机搜索功能来查找有效的电话号码和他们的主人的名字,据安全研究人员称,
Demand Media是恶意软件的主页,研究人员称
HostExploit的研究人员报告称Demand Media是恶意服务器托管的最差ISP。