15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες
infosec

15 ψεύτικες Google Play εφαρμογές εξαπάτησαν Android χρήστες

Νωρίτερα αυτόν τον μήνα, η Google απομάκρυνε 85 κακόβουλες εφαρμογές από το Google Play Store. Ειδικότερα, μία παράνομη adware εφαρμογή...
Read More
infosec

Facebook «10 Year Challenge»: Κινδυνεύουν πράγματι τα δεδομένα σας;

Το τελευταίο διάστημα όλοι παρατηρήσαμε το νέο trend «10-Year Challenge» σε Facebook και Instagram. Αφού έγινε η νέα τάση ανάμεσα...
Read More
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
Latest Posts

Bug στο Twitter επέτρεπε τη δημοσίευση tweets από οποιοδήποτε profile

Ένα απλό bug στo Twitter, το οποίο είχε περάσει απαρατήρητο για χρόνια, θα μπορούσε να είχε σπείρει το χάος στην πλατφόρμα.

Bug στο Twitter

To κενό ασφάλειας που επηρεάζε για χρόνια την πλατφόρμα, μπορούσε να επιτρέψει σε έναν εισβολέα να δημοσιεύσει tweets στο προφίλ οποιουδήποτε χρήστη, χωρίς να χρειάζεται να έχει πρόσβαση στο λογαριασμό του.

Το bug, αναδείχθηκε μέσω της πλατφόρμας εύρεσης ευπαθειών HackerOne, και επιδιορθώθηκε δύο ημέρες αργότερα. Η ευπάθεια αξιολογήθηκε ως υψηλής κρισιμότητας και ο ερευνητής έλαβε χρηματικό ποσό ύψους $7,560 για την ανακάλυψή της.

Όπως εξηγεί ο Kedrisch, το bug εντοπιζόταν στο service library του Twitter Ads Studio (υπηρεσία διαφημίσεων του Twitter) μέσω της οποίας οι χρήστες μπορούν να κάνουν upload πολυμέσων και περιεχομένου. Η υπηρεσία προσφέρει επίσης τη δυνατότητα για review των αρχείων που μεταφορτώθηκαν, πριν τη δημοσίευσή τους.

Το library βρίσκεται στη διεύθυνση https://ads.twitter.com/accounts/*id_of_user_account*/media και επιτρέπει στους χρήστες όχι μόνο να προβάλουν το αρχείο πολυμέσων, αλλά και να το tweetάρουν ή να το μοιραστούν με άλλους χρήστες. Τo function του tweeting έχει πρόσβαση στο account_id, owner_id (ο κάτοχος της εικόνας), user_id (ο χρήστης στο προφίλ του οποίου θα δημοσιευθεί το tweet) και media_key (id του αρχείου πολυμέσων που δημοσιεύεται). Ο ερευνητής δοκιμάσε να τροποποιήσει όχι μόνο τα owner_id και user_id αλλά και το media_key στο POST, το οποίο οδήγησε σε επιτυχή απόπειρα δημοσίευσης των tweet.

«Kάνοντας share κάποιο αρχείο πολυμέσων με έναν χρήστη, και στη συνέχεια τροποποιώντας το post request, το εν λόγω αρχείο δημοσιευόταν αυτόματα στο προφίλ του χρήστη/θύματος» ανέφερε το Twitter.

Με απλά λόγια; Τροποποιώντας τον κώδικα που στέλνεται στο Twitter όταν δημοσιεύεται κάτι, ο καθένας θα μπορούσε να ποστάρει ένα tweet σε οποιοδήποτε προφίλ τρίτου.

 

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *