Twitter Clickjacking Attack aiheuttaa postimyynnin häirintää

Twitter Nation, stand down: Tämä napsautuskohtaus hyökkäys Twitterissä tänä torstaina on nyt korjattu.

Vähintään 24 tuntia sen jälkeen, kun ensimmäiset viralliset palkinnot osoittavat Twitterin käyttäjien kunnioittamisen (ja kaikille epäileville ei-Twitter-tyypeille, en ole tämä on nimeltään Shorty Awards ja MC Hammer oli siellä), joku aloitti sellaisen yhteiskunnallisen viruksen, joka levisi nopeasti verkon kautta.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Twitter Clickjacking: "Älä klikkaa"

Twitterin napsauttaminen bugi ei todellakaan ole suuri uhka, se näyttää, mutta hieman lievää ärsytystä. Tässä on se, mitä tapahtui: Joku julkaisi viestin, jossa sanottiin "älä napsauta", sekä maskattua URL-osoitetta. Jos napsautit linkkiä, sama viesti lähetetään automaattisesti Twitter-tilillesi. Yksi ystäväsi sitten päätyisi näkemään viestisi, tulemaan uteliaaksi ja napsauttamaan sitä - jolloin syntyisi virusten levinnyt vaikutelma.

"Älä napsauta" - hyvää käänteistä psykologiaa hienoin. Arvaa, että tavara todella toimii. (Huomaa itsellesi: Aloita puhelinnumeron siirtäminen houkutteleville naisille, jossa on huomata sanoma: "Älä soita.")

Truth Behind the Tweeting

Mitä sitten todella tapahtui täällä? Sunlight Labsin viileät kissat sanovat, että kyse oli iframeista. "Mitä tämä" virus "tekee, se luo sivun iframe-sivun, piilottaa sen ja kun napsautat kyseistä painiketta ja olet kirjautunut Twitteriin, se lähettää viestin (vaikka et näe sitä), "Sunlight Labsin johtaja Clay Johnson selittää blogissaan. "Ei ole mitään javascriptia mukana", hän sanoo.

Näet koodin, joka on käännetty englanniksi täällä. Tietenkin kaikki, mitä voit todella tehdä, on lukea. Se ei enää toimi.

Twitter Fixers

Twitterin joukkue pystyi estämään virheen muutamassa tunnissa. "Älä klikkaa" + linkki asia on "clickjacking" hakata, "Twitter CEO Evan Williams kirjoitti noin kello 13.30. ET. "Älä klikkaa sitä, korjaa nyt," hänen viestinsa ohjeet.

Hetken kuluttua operatiivinen insinööri John Adams - joka tunnetaan paremmin seuraajia Netikista - hänen Twitter-kädensijansa - ilmoitti, että virhe on korjattu.

"Paneimme" älä napsauta "napsauttamalla hyökkäystä 10 minuuttia sitten", hän totesi. "Ongelma olisi poistettava."

Twitterin virallinen blogi antaa nyt hieman enemmän tietoa:

"Onneksi haitta oli rajoitettu linkin jatkuvaan palauttamiseen, mutta otamme haittaohjelmia hyökkäyksiltä Twitterin käyttäjille erittäin vakavasti ja tänä aamuna lähetimme päivityksen, joka estää tämän klikkaustekniikan. "

Whew. Ainakin voimme levätä helposti tietääksemme, että Hammer pysyi turvassa tästä asiasta.

(Valitettavasti en voinut vastustaa.)