Android

ทำให้โจมตี Twitter แบบวุ้น

เวก้าผับ ฉบับพิเศษ

เวก้าผับ ฉบับพิเศษ
Anonim

นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ การโจมตีที่โพสต์ทางออนไลน์เมื่อวันพฤหัสบดีที่ผ่านมาโดยนักวิจัยของ Secure Science คือหลักฐานอันน่ากลัวของแนวคิดที่บังคับให้ผู้ใช้ส่งข้อความทวิตเตอร์ที่กำหนดไว้ล่วงหน้า แต่อาจถูกนำมาใช้ใหม่ในเวิร์มที่น่ารังเกียจมากแลนซ์เจมส์นักวิทยาศาสตร์หัวหน้าของ Secure Science กล่าว "คุณสามารถโจมตีได้ด้วยโค้ดของเราและจะฉีกเศษเสี้ยวของ Twitter" เขากล่าว

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

การแฮ็กคล้ายกับการโจมตีแบบคลิกจ๊อยซึ่งกำลังทำการทวิตบน Twitter เมื่อเดือนที่แล้ว มีแฮกเกอร์ใช้เทคนิคส่อเสียดเพื่อหลอกลวงให้ผู้ใช้คลิกลิงก์โดยไม่ทราบว่า ลิงก์นี้จะโพสต์ข้อความ Twitter ว่า "อย่าคลิก" พร้อมกับ URL

คราวนี้นักวิจัยของ Secure Science พบวิธีที่จะใช้ประโยชน์จากข้อผิดพลาดในการเขียนโปรแกรมบนไซต์สนับสนุนของ Twitter เพื่อโพสต์ข้อความที่ไม่พึงประสงค์ หลังจากข้อความแจ้งเตือนรหัสทดสอบของ Secure Science จะโพสต์ข้อความว่า "@XSSExploits ฉันเป็นเจ้าของแล้ว" ไปยังโปรไฟล์ของเหยื่อ

ผู้ใช้ที่เป็นอันตรายอาจทำข้อผิดพลาดนี้ได้แย่กว่ามาก แต่เจมส์กล่าว การโจมตีสามารถปรับเปลี่ยนได้เพื่อไม่ให้มีหน้าจอเตือนและอาจเป็นเพราะข้อความที่น่าตื่นเต้นที่ผู้ใช้มีแนวโน้มที่จะคลิกมากขึ้น ถ้ามันถูกรวมเข้ากับรหัสโจมตีของเบราเซอร์ที่เป็นอันตรายมันสามารถใช้ในการควบคุมเครื่องของเหยื่อเจมส์กล่าวว่า "ฉันหายใจฉันหวังว่าจะไม่มีใครทำอะไรโง่ ๆ ในขณะนี้" เขากล่าว

Twitter สามารถปิดการโจมตีได้โดยการแก้ไขข้อบกพร่องของสคริปต์ข้ามไซต์ที่นักวิจัยของ Secure Science กำลังใช้ประโยชน์ แต่ถ้ามีข้อบกพร่องอื่นที่คล้ายคลึงกันปรากฏขึ้นบนไซต์ผู้ใช้จะต้องเผชิญกับปัญหาเดียวกันนี้อีกครั้ง

Twitterer ใช้ลิงก์สั้นลงเช่น Tinyurl.com และมักไม่ค่อยมีความคิดหรือไม่ว่าพวกเขากำลังคลิกลิงก์ที่เชื่อถือได้หรือไม่ James กล่าวว่า

Twitter การรักษาความปลอดภัยได้รับในเด่นเมื่อเร็ว ๆ นี้เป็นบริการที่ได้รับความนิยมกระแสหลัก เมื่อเดือนมกราคมที่ผ่านมา บริษัท ได้ทำการตรวจสอบด้านความปลอดภัยแบบเต็มรูปแบบหลังจากที่แฮคเกอร์ได้เข้าใช้บัญชี Barack Obama, Fox News และ CNN ซึ่งเจมส์ได้กล่าวว่าเขาหวังว่าการสาธิตของเขาจะช่วยผลักดัน Twitter ในการให้ความสำคัญกับความปลอดภัย

"เราไม่ต้องการก่อให้เกิดความเสียหายกับ Twitter" เขากล่าว

ในหนึ่งแคมเปญผู้ส่งสแปมเมล์เห็นได้ชัดว่า ผู้นำของพวกเขาจากบทความ Mobile Crunch เกี่ยวกับ 20 สิ่งที่จะตรวจสอบใน iPhone 3.0 พวกเขาได้ตั้งค่าบัญชี Twitter ปลอมและโพสต์ข้อความ Twitter ที่เชื่อมโยงไปยังเว็บไซต์ส่งเสริมผลิตภัณฑ์เสริมชาย ข้อความบน Twitter พูดถึงสิ่งต่างๆเช่น "iPhone OS 3.0 เพิ่งเปิดตัวต่อไปนี้เป็น 20 สิ่งที่ต้องทำด้วย" และยังมีการโพสต์โดยบัญชี Twitter ที่ถูกต้อง (และอาจถูกแฮ็ก) ด้วยเช่นกัน

ในหนึ่งแคมเปญผู้ส่งสแปมเมล์เห็นได้ชัดว่า ผู้นำของพวกเขาจากบทความ Mobile Crunch เกี่ยวกับ 20 สิ่งที่จะตรวจสอบใน iPhone 3.0 พวกเขาได้ตั้งค่าบัญชี Twitter ปลอมและโพสต์ข้อความ Twitter ที่เชื่อมโยงไปยังเว็บไซต์ส่งเสริมผลิตภัณฑ์เสริมชาย ข้อความบน Twitter พูดถึงสิ่งต่างๆเช่น "iPhone OS 3.0 เพิ่งเปิดตัวต่อไปนี้เป็น 20 สิ่งที่ต้องทำด้วย" และยังมีการโพสต์โดยบัญชี Twitter ที่ถูกต้อง (และอาจถูกแฮ็ก) ด้วยเช่นกัน

"ผู้ส่งอีเมลขยะได้ยก Crunch ชื่อและขี่ม้า "คริสบอยด์นักวิจัยของ FaceTime ซึ่งเขียนบล็อกเกี่ยวกับปัญหาในวันพฤหัสบดีที่อ่านต่อ

สำหรับผู้ที่ใช้ Twitter ตัวแรก ๆ ที่ได้อยู่ครู่หนึ่งสักพักการหยุดทำงานของ Twitter สองชั่วโมงในเช้าวันนี้อาจไม่ได้ผิดปกติ สิ่งที่ทำให้การหยุดทำงานของเช้านี้แตกต่างจากความล้มเหลวที่ผ่านมาคือเวลานี้ Twitter ตกเป็นเหยื่อการโจมตีแบบปฏิเสธการให้บริการ Twitter ได้ขยายขีดความสามารถเพื่อรองรับปริมาณผู้ใช้และทวีตตามปกติ แต่ก็ยังมีขีด จำกัด สูงสุดที่สามารถจัดการได้ ผู้บุกรุกสามารถปิดไซต์ได้อย่างมีประสิทธิภาพด้วยการสร้างคำขอจำนวนมากจนทำให้เซิร์ฟเวอร์เหล่านั้นล้นหลามและป้องกันไม่ให้ทวีตถูกต้องตามกฎหมายจากการ

สำหรับผู้ที่ใช้ Twitter ตัวแรก ๆ ที่ได้อยู่ครู่หนึ่งสักพักการหยุดทำงานของ Twitter สองชั่วโมงในเช้าวันนี้อาจไม่ได้ผิดปกติ สิ่งที่ทำให้การหยุดทำงานของเช้านี้แตกต่างจากความล้มเหลวที่ผ่านมาคือเวลานี้ Twitter ตกเป็นเหยื่อการโจมตีแบบปฏิเสธการให้บริการ Twitter ได้ขยายขีดความสามารถเพื่อรองรับปริมาณผู้ใช้และทวีตตามปกติ แต่ก็ยังมีขีด จำกัด สูงสุดที่สามารถจัดการได้ ผู้บุกรุกสามารถปิดไซต์ได้อย่างมีประสิทธิภาพด้วยการสร้างคำขอจำนวนมากจนทำให้เซิร์ฟเวอร์เหล่านั้นล้นหลามและป้องกันไม่ให้ทวีตถูกต้องตามกฎหมายจากการ

สิ่งที่น่าสนใจคือการตอบสนองต่อ Twitter ล้มเหลว มันสำคัญหรือไม่? การอภิปรายเกี่ยวกับว่าผู้ใช้ควรเข้าถึงไซต์ทางสังคมออนไลน์เช่น Twitter จากเครือข่ายองค์กรหรือเครือข่ายของรัฐบาลหรือไม่ นาวิกโยธินห้ามเครือข่ายสังคมสำหรับปีถัดไปและเอ็นเอฟแอห้าม Twitter โดยเฉพาะ หลายองค์กรยังคงพยายามสร้างนโยบายเกี่ยวกับการใช้เครือข่ายทางสังคมในเวลาที่ บริษัท หรือการใช้ทรัพยากรของ บริษัท ที่ยอมรับได้

คุณสามารถใช้ Twitter ได้โดยง่ายโดยเฉพาะอย่างยิ่งเมื่อคุณพยายามใช้บริการบล็อกขนาดเล็กเพื่อจุดประสงค์ทางธุรกิจ ฉันควรทำตามใคร? ฉันจะทำให้คนอื่นติดตามฉันมากขึ้นได้อย่างไร? เมื่อไหร่ที่ฉันควรทวีต? ฉันจะเริ่มต้นที่ไหน นี่เป็นเพียงไม่กี่คำถามที่ผู้ใช้ Twitter มักมีและพวกเขาเป็นหนึ่งในคนที่ SocialBro พยายามตอบ เครื่องมือการจัดการ Twitter ที่ครอบคลุมนี้มีคุณลักษณะมากมายที่จะช่วยให้คุณใช้ประโยชน์จาก Twitter ได้ดีที่สุด แต่ก็สามารถครอบงำได้อย่างเต็มที่และรุ่นฟรีมี จำกัด

คุณสามารถใช้ Twitter ได้โดยง่ายโดยเฉพาะอย่างยิ่งเมื่อคุณพยายามใช้บริการบล็อกขนาดเล็กเพื่อจุดประสงค์ทางธุรกิจ ฉันควรทำตามใคร? ฉันจะทำให้คนอื่นติดตามฉันมากขึ้นได้อย่างไร? เมื่อไหร่ที่ฉันควรทวีต? ฉันจะเริ่มต้นที่ไหน นี่เป็นเพียงไม่กี่คำถามที่ผู้ใช้ Twitter มักมีและพวกเขาเป็นหนึ่งในคนที่ SocialBro พยายามตอบ เครื่องมือการจัดการ Twitter ที่ครอบคลุมนี้มีคุณลักษณะมากมายที่จะช่วยให้คุณใช้ประโยชน์จาก Twitter ได้ดีที่สุด แต่ก็สามารถครอบงำได้อย่างเต็มที่และรุ่นฟรีมี จำกัด

SocialBro มีให้เลือกหลายรุ่น เวอร์ชันฟรีที่เรียกว่า SocialBro Desktop มีให้บริการในฐานะแอป Chrome ซึ่งสามารถใช้งานได้ในเบราว์เซอร์ของ Google (แบบออนไลน์หรือแบบปิด) และแอป Adobe Air ซึ่งสามารถทำงานได้ทันทีบนเดสก์ท็อป แอป Air Air มีข้อบกพร่องที่ทราบซึ่งป้องกันไม่ให้ผู้ใช้บางรายเพิ่มบัญชี Twitter บริษัท กล่าวว่าข้อผิดพลาดนี้เป็นปัญหากับ Adobe Air ไม่ใช่ SocialBro และพวกเขากำลังเรียกร้องให้ผู้ใช้ใช้ SocialBro สำหรับ Chrome แทน ฉันได้ทดสอบแอปพลิเคชัน Adob ​​e Air สั้น ๆ และสามารถเพิ่มบัญชี Twitter ได