Home > Notícias

Bug novo descoberto no Twitter pode ser usado para ataque em massa

Pesquisadores testam código capaz de provocar ataque mais severo do que o 'clickjacking' que afetou o microblog há um mês.

IDG News Service / EUA

20/03/2009 às 14h31

Foto:

Pesquisadores de segurança da empresa Secure Science testaram um código de ataque, que explora uma nova falha no Twitter, capaz de se espalhar viralmente no microblog.

O código de ataque publicado na quinta-feira (19/03) é um teste conceitual que força usuário a enviar uma mensagem pré-determinada no Twitter. A mensagem pode ser usada para espalhar uma praga virtual capaz de tirar o controle da máquina da vítima, afirmou Lance James, cientista chefe da Secure Science.

O código é similar a um ataque de 'clickjacking' que circulou no Twitter em fevereiro. Na época, crackers usaram uma técnica para convencer os usuários a clicarem em um link sem perceber. O link enviava uma mensagem no Twitter dizendo "don't click" ("Não clique") acompanhada de uma URL.

Desta vez, os pesquisadores da Secure Science descobriram como tirar vantagem de um erro de programação no site de suporte do Twitter para incluir a mensagem indesejada. Após uma mensagem de alerta, o código de teste da Secure Science exibe a seguinte mensagem: "@XSSExploits I just got owned!" no perfil da vítima.

James alerta que a falha pode ser usada por um invasor mal-intencionado para eliminar a tela de alerta e usar uma mensagem sensacionalista para atrair cliques. Se combinada a um código de ataque a um browser, a ameaça pode até controlar as máquinas da vítimas.

O cientista disse que o código não tem a intenção de afetar o Twitter, mas alertar a empresa para a segurança do microblog. O próprio perfil do serviço - mensagens de no máximo 140 caracteres - exige a publicação de URLs curtas, como no gerador Tinyurl.com. Ao clicar nestes links, geralmente o usuário não tem ideia do site acessado.

A segurança do Twitter tem sido motivo de preocupação desde que o site ganhou popularidade. Em janeiro, o serviço instituiu uma revisão geral de segurança após as invasões das contas do presidente dos Estados Unidos, Barack Obama, das redes Fox News e CNN.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail