Tutkijat tekevät Wormy Twitter Attackin

Tietoturvatutkijat ovat kehittäneet uusi Twitter-hyökkäys, jota he sanovat voivansa levitä virallisesti, aivan kuin mato on microblogging-palvelussa.

Secure Sciencein tutkijoiden lähettämä online-hyökkäys on vaaraton todiste konseptista, joka pakottaa käyttäjät lähettämään ennalta määritetyn Twitter-viestin, mutta se saattaa muuttua uhanalaiseksi matoiksi, sanoi Secure Science -tieteilijä Lance James.

"Voit yhdistää hyökkäyksen koodimme kanssa, ja se vain repäisi kimpun Twitteristä", hän sanoi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hack on samanlainen kuin klikkauksen hyökkäys, joka teki kierrokset Twitterissä viime kuussa. Hakkereita käytti salaperäinen tekniikka, joka houkutteli käyttäjiä klikkaamalla linkkiä ymmärtämättä sitä. Tämä linkki lähettää Twitter-viestin, jossa sanotaan "älä napsauta" ja URL-osoitetta.

Tällä kertaa Secure Sciencein tutkijat löysivät keinon hyödyntää Web-ohjelmointivirheitä Twitterin tukisivustolla lähettääksesi ei-toivotun viestin. Varoitussanoman jälkeen Secure Science -koodikoodi lähettää viestin: "@XSSExploits, jonka sain omistukseni!" uhrin profiiliin.

Haitallinen käyttäjä voisi tehdä paljon pahempaa tämän virheen kanssa, mutta James sanoi. Hyökkäystä voidaan muokata niin, että varoitusnäyttöä ei näytetä, ja sitä voitaisiin lisätä sensuellisella viestillä, jonka käyttäjät todennäköisemmin napsauttaisivat. Jos se yhdistettiin haitallisen selaimen hyökkäyskoodin kanssa, sitä voitaisiin käyttää uhrien koneiden hallintaan, James sanoi.

"Pidän hengessäni toivottavasti kukaan ei tee jotain tyhmää tällä hetkellä", hän sanoi.

Twitter voisi estää hyökkäyksen vahvistamalla Secure Site -asiakkaiden hyödyntämät ristisivustot, mutta jos samanlainen vika ponnahtaa sivustolle, käyttäjät joutuvat kohtaamaan saman ongelman uudestaan.

Asiaa pahentaa se, että Twitterin 140-merkkisen rajoituksen takia Twitterin käyttäjät käyttävät lyhennettyjä Web-linkkejä, kuten Tinyurl.com, ja heillä ei useinkaan ole aavistustakaan, ovatko he napsahtavat luotettavaa Web-linkkiä, James sanoi.

Twitterin turvallisuuskäytännöt ovat olleet valokeilassa viime aikoina, kun palvelu on saavuttanut yleisen suosion. Tammikuussa yhtiö perusti täyden tietoturvakatselmuksen, kun hakkerit pääsivät presidenttiehdokkaiden Barack Obaman, Fox Newsin ja CNN: n tileihin.

James kertoi toivottavansa, että hänen mielenosoituksensa vievät Twitterä tekemään turvallisuuden etusijalle.

"Emme halua vahingoittaa Twitterä", hän sanoi.