Twitter Oauth 1.0 using Postman client
Isang tampok sa Twitter API (application programming interface) ay maaaring abusuhin ng mga attackers upang ilunsad ang kapani-paniwala na pag-atake ng mga sosyal na engineering na magbibigay sa kanila ng isang mataas na pagkakataon ng pag-hijack ng mga account ng gumagamit, isang mobile application developer nagsiwalat Miyerkules sa Hack sa Box conference conference sa Amsterdam. kung paano ginagamit ng Twitter ang pamantayan ng OAuth upang pahintulutan ang mga third-party na apps, kabilang ang desktop o mobile na mga kliyente ng Twitter, upang makipag-ugnay sa mga account ng gumagamit sa pamamagitan nito API, Nicolas Seriot, isang nagkakagulong mga tao ang developer ng application ng ile at project manager sa Swissquote Bank sa Switzerland, sinabi Huwebes.
Pinapayagan ng Twitter ang mga app na tukuyin ang isang custom na URL ng callback kung saan ang mga user ay ma-redirect pagkatapos bigyan ang mga apps ng access sa kanilang mga account sa pamamagitan ng isang pahina ng awtorisasyon sa site ng Twitter. > [Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]
Seriot ay natagpuan ng isang paraan upang gumawa ng mga espesyal na link na, kapag nag-click ng mga gumagamit, ay magbubukas ng mga pahina ng pahintulot sa Twitter app para sa mga sikat na kliyente tulad ng TweetDeck. Gayunpaman, ang mga kahilingan na iyon ay tukuyin ang server ng magsasalakay bilang mga URL ng callback, na pumipilit sa mga browser ng gumagamit na ipadala ang kanilang mga token ng access sa Twitter sa magsasalakay.
Ang access token ay nagbibigay-daan sa mga aksyon na isagawa sa nauugnay na account sa pamamagitan ng Twitter API nang hindi nangangailangan isang password. Maaaring gamitin ng isang magsasalakay ang gayong mga token upang mag-post ng mga bagong tweet sa ngalan ng mga nakompromiso na mga gumagamit, basahin ang kanilang mga pribadong mensahe, baguhin ang lokasyon na ipinapakita sa kanilang mga tweet, at higit pa.Ang pagtatanghal ay mahalagang sakop sa mga implikasyon sa seguridad na nagpapahintulot sa mga custom na callbacks at inilarawan paraan ng paggamit ng tampok na ito upang magbalatkayo bilang mga lehitimo at mapagkakatiwalaang mga kliyente ng Twitter upang makawin ang mga token ng access ng gumagamit at pag-hijack ng mga account, sinabi ni Seriot.
Ang isang magsasalakay ay maaaring magpadala ng isang email na may tulad na ginawa na link sa social media manager ng isang mahalagang kumpanya Halimbawa, kung ang pag-click sa link, ang target ay makikita ang pahina ng Twitter na protektado ng SSL na humihiling sa kanya na pahintulutan ang TweetDeck, Twitter para sa iOS, o iba pang popular na Twitter client, upang i-access ang kanyang account. Kung ang target ay gumagamit na ng impersonated client, maaaring siya ay naniniwala na ang naunang ipinagkaloob na awtorisasyon ay nag-expire na at kailangan nila upang muling pahintulutan ang app.
Ang pag-click sa pindutang "pinapahintulutan" ay pinipilit ang browser ng user na ipadala ang access token sa ang server ng magsasalakay, na pagkatapos ay i-redirect ang user pabalik sa website ng Twitter. Ang gumagamit ay hindi makakakita ng anumang pag-sign ng isang bagay na masamang nangyayari, Sinabi ni Seriot.
Upang maisagawa ang gayong pag-atake at mag-craft ang mga espesyal na mga link sa unang lugar, ang mang-aatake ay kailangang malaman ang mga token ng Twitter API para sa mga application niya nais na magpanggap. Ang mga ito ay karaniwang hardcoded sa mga application sa kanilang sarili at maaaring makuha sa maraming paraan, sinabi Seriot.
Nagbuo ang developer ng isang open-source OAuth library para sa Mac OS X na maaaring magamit upang makipag-ugnayan sa Twitter API at bumuo ng mga link sa pahintulot rogue callback URL. Gayunpaman, ang library, na tinatawag na STTwitter, ay itinayo para sa mga lehitimong layunin at nilayon upang idagdag ang suporta sa Twitter sa Adium, isang popular na multi-protocol chat client para sa Mac OS X.
Ayon sa Seriot, maaaring maiwasan ng Twitter ang gayong mga pag-atake ni hindi pagpapagana ng pag-andar ng callback mula sa pagpapatupad ng OAuth nito. Gayunpaman, hindi siya naniniwala na gagawin ito ng kumpanya, dahil ito ay isang lehitimong katangian na ginagamit ng ilang mga kliyente.
Ang Twitter ay hindi kaagad tumugon sa isang kahilingan para sa komento na ipinadala Huwebes.
Computerworld ay hindi maaaring maging lugar upang gawin ang argument na ito, tulad ng maraming mga mambabasa, walang duda, enjoy playing may bagong software. Ngunit ang iba naman ay hindi. Nagsasalita ako tungkol sa karamihan ng mundo na ang mga trabaho ay hindi kaugnay sa IT. Ang mga taong ito ay maaaring gumamit ng mga computer, kahit na kailangan ang mga ito, ngunit tinitingnan nila ito bilang isang tool upang makuha ang kanilang trabaho. Wala nang iba pa. Bilang isang tagapayo, nakita ko it
Noong nakaraang linggo, sa paggawa ng kaso para sa cloud computing, kapwa Computerworld blogger na si Mark Everett Hall ay nagsalita rin para sa mga di-techies:
Habang ang Apple - at partikular na iPhone - ang mga tsismis ay isang dosenang isang dosenang, ang isang ito ay maaaring may merito. Para sa AT & T, ang isang mas mura na plano sa serbisyo sa antas ng entry ay maaaring humimok sa mga mamimili na nasa-bakod na nagmamahal sa iPhone ngunit hindi ang mga buwanang bayad na kasama nito. Ang isang $ 10 na diskwento ay maaaring hindi mukhang magkano, ngunit maaari itong maakit ang mga bagong tagasuskribi, lalo na kung sinamahan ng isang mas murang iPhon
[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet. ]
Tagapagpananaliksik: Maaaring magsimulang abusuhin ng mga Hacker ang mga de-kuryenteng charger ng kotse upang lumpo ang grid
Maaaring gamitin ng mga Hacker ang mga mahina na istasyon ng pagcha-charge upang maiwasan ang singilin ang mga sasakyang de koryente sa isang lugar, o posibleng gamitin ang mga kahinaan sa mga lumpo na bahagi ng grid ng koryente, sinabi ng isang mananaliksik sa seguridad sa panahon ng pagpupulong sa Hack sa Kahon sa Amsterdam sa Huwebes.