Week 10, continued
Funkce v rozhraní Twitter API (programování aplikací rozhraní) mohou útočníci zneužít k zahájení důvěryhodných sociálních inženýrských útoků, které by jim poskytly vysokou šanci na únos uživatelských účtů, objevil vývojář mobilních aplikací ve středu na konferenci o bezpečnosti Hack in the Box v Amsterodamu
. jak Twitter používá standard OAuth k autorizaci aplikací třetích stran, včetně klientů stolních nebo mobilních Twitter, aby spolupracovali s uživatelskými účty prostřednictvím rozhraní API, Nicolas Seriot, dav ile aplikací vývojář a projektový manažer ve Swissquote Bank ve Švýcarsku
Twitter umožňuje aplikacím zadat vlastní URL zpětného volání, kde uživatelé budou přesměrováni po přidělení těchto aplikací na své účty přes autorizační stránku na webu Twitteru
[Další čtení: Jak odstranit malware z vašeho počítače se systémem Windows]Seriot našel způsob, jak vytvořit speciální odkazy, které při kliknutí uživatelům otevře stránky pro autorizaci aplikace Twitter pro populární klienty, jako je například TweetDeck. Tyto požadavky by však specifikovaly server útočníka jako adresy URL zpětného volání a vynucovaly prohlížeče uživatelů, aby odesílali přístupové tokeny Twitteru k útočníkovi.
Token přístupu umožňuje provádět akce s přidruženým účtem prostřednictvím rozhraní Twitter API bez nutnosti heslo. Útočník by mohl používat taková tokeny, aby zveřejňoval nové tweety jménem ohrožených uživatelů, četl jejich soukromé zprávy, upravoval umístění zobrazené v jejich tweety a další.
Prezentace v podstatě zahrnovala bezpečnostní důsledky povolování vlastních zpětných volání a popisovala způsob použití této funkce k maskování jako legitimní a důvěryhodní klienti Twitter, aby ukradli uživatelské přístupové toky a únosy účtů, řekl Seriot.
Útočník by mohl poslat e-mail s takovým vytvořeným odkazem na správce sociálních médií důležité společnosti nebo zpravodajskou organizací, která například naznačuje, že je to odkaz na někoho na Twitteru.
Když kliknete na odkaz, objeví se na cílové stránce Twitter chráněné na serveru SSL žádost o autorizaci aplikace TweetDeck, Twitter pro iOS nebo jiné oblíbený klient služby Twitter, aby mohl přistupovat k jeho účtu. Pokud cíl již používá odliší klienta, může se domnívat, že dříve udělená oprávnění vypršela a musí aplikaci znovu autorizovat.
Kliknutím na tlačítko "autorizovat" by uživatelský prohlížeč vynucoval odesílání přístupového tokenu server útočníka, který pak přesměruje uživatele zpět na webovou stránku služby Twitter. Uživatel by neviděl žádné známky toho, že by se něco špatně dělo, řekl Seriot.
Za účelem provedení takového útoku a řemeslných speciálních odkazů by útočník musel znát žetony API Twitter pro aplikace, které chce se vydávat za vydávání. Ty jsou obecně hardcoded v samotných aplikacích a lze je vyexportovat několika způsoby, říká Seriot.
Vývojář vytvořil otevřenou knihovnu OAuth pro Mac OS X, která může být použita pro interakci s API služby Twitter a generovat autorizační odkazy neoprávněné adresy URL zpětného volání. Nicméně knihovna, která se nazývá STTwitter, byla postavena pro legitimní účely a je určena k přidání podpory pro Twitter do Adium, populárního multi-protocol chatu pro Mac OS X.
Podle Seriota by Twitter mohl zabránit takovým útokům zakázání funkce zpětného volání z implementace OAuth. Nicméně se domnívá, že to společnost nebude dělat, protože je to technicky legitimní funkce, kterou někteří zákazníci používají.
Twitter neodpověděl okamžitě na žádost o komentář zaslaný ve čtvrtek.
Diváci tvrdí, že společnost Google je odpovědná za vývoj Android, a to navzdory tomu, že se software stal komunitním projektem. Experti však tvrdí, že to může být jediný způsob, jak může společnost Google zajistit, že software bude skutečně propuštěn. Vývojový proces Android může odrážet realitu v prostředí s otevřeným zdrojovým kódem, protože některé skupiny se zříkají komunitě ve snaze urychlit komercializaci.
Když společnost Google poprvé představila systém Android, nazval ji společným projektem společnosti Open Handset Alliance, skupině společností podporujících systém OS. "Společně jsme vyvinuli Android," píše na webu OHA.
Diskové jednotky pro přenosné počítače jsou obvykle buď 9,5 milimetry vysoké nebo 12,5 milimetry vysoké. Tlustší pohony obvykle nabízejí větší kapacitu, protože v sobě může být umístěna další plnicí deska o průměru 2,5 palce. Nedávné pokroky v oblasti ukládání magnetických dat znamenají, že více dat může být naplněno na jediný talíř, což způsobuje, že je třeba, aby se více platforem méně zatlačovalo do pohonů.
Seagate nezjistil kapacitu pohonu, který bude součástí jeho Momentus Thin řady
E-mailový útok zneužívá zranitelnost na webu Yahoo k únosu účtů
Hackeři za nedávno zjištěnou kampaň útoku e-mailu zneužívají zranitelnost na webových stránkách Yahoo unesli e-mailové účty uživatelů Yahoo a používali je pro spam, tvrdí bezpečnostní výzkumníci z prodejce antivirových služeb Bitdefender.