Россиянин нашел в Twitter «баг» для публикации сообщений от имени других пользователей

plashka-kvadrat

Сотрудник российской компании Digital Security, которая занимается исследованиями в сфере кибербезопасности, обнаружил уязвимость в соцсети Twitter. Она дает возможность публиковать записи от лица любого пользователя на его странице, передает Cnews. При этом злоумышленнику не требуется доступ к аккаунту жертвы, для эксплуатации бага достаточно продвинутых пользовательских навыков.

Уязвимость была выявлена 26 февраля 2017 года Егором Жижиным, известным также под никнеймом kedrisec. К 28 февраля соцсеть закрыла «дыру». Twitter адресовал Жижину официальную благодарность вкупе с «крупным денежным вознаграждением», сообщает Digital Security. О факте обнаружения уязвимости компания рассказала лишь два месяца спустя, предоставив таким образом соцсети время на поиск аналогичных багов.

Уязвимость была связана с наличием в Twitter сервиса ads.twitter.com. Сервис представляет собой библиотеку, которая позволяет загружать различные файлы, например, изображения или видео. Для эксплуатации бага нужно было зайти в ads.twitter.com и выбрать функцию «Загрузить медиафайл». В процессе соцсеть предоставляла пользователю возможность твитнуть этот файл и поделиться им с другими пользователями по выбору.

Возможность твитнуть файл предполагает среди прочего использование id владельца изображения и id пользователя соцсети, на странице которого опубликуется твит. Для успешной публикации твита в чужом аккаунте достаточно было перехватить запрос на твит и подменить в запросе POST эти id, а также медийный ключ файла.

Подмена id хакера на те, которые принадлежат жертве, происходила достаточно легко: узнать нужные аккаунты можно с помощью различных сервисов. Сложность заключалась в том, что злоумышленнику нужно каким-то образом добыть медийный ключ файла, который содержится в библиотеке жертвы. Узнать этот ключ может только владелец файла. Подобрать ключ, состоящий из 18 цифр, практически невозможно. Поэтому преступнику следовало воспользоваться другой опцией – поделиться файлом с жертвой. После этого целевой аккаунт становился совладельцем файла, ключ которого уже известен хакеру.

Пример подобной провокации имел место в январе 2017 года, когда на странице издания The New York Times в Twitter было размещено сообщение о ядерном ударе по США со стороны России. На этот аккаунт, где газета размещает различные видеоролики, подписано более 250 тысяч читателей. Ложные твиты были вскоре удалены. Как выяснилось впоследствии, аккаунт газеты был взломан хакерской группировкой OurMine.

Материал подготовил Сергей Перелесов

04 мая 2017 в 20:20
Оставьте свой комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *