Исследователь безопасности Генри Хоггард (Henry Hoggard) недавно обнаружил в функции Twitter «Аdd a mobile device» CSRF-уязвимость, которая давала возможность читать личные сообщения и твиты с любого другого аккаунта.

Генри Хоггард, исследователь безопасности из компании MWR InfoSecurity, рассказал Threatpost, что на досуге наткнулся на  баг в Twitter, о чем тут же сообщил администрации сети. Twitter решил проблему уязвимости в течение суток. Детали истории Хоггард разместил в своем личном блоге.

Уязвимости CSRF (Cross-Site Request Forgery, подделка межсайтовых запросов) заставляют пользователя выполнять нежелательные действия в приложении или в сервисе уже после проверки его подлинности. Атаки CSRF обычно включают в себя различные методы обмана пользователей, такие как рассылка электронных писем с вредоносным вложением. В случае успеха злоумышленники получают контроль над аккаунтом, что открывает перед ними обширное поле для действий в зависимости от конкретных задач и уровня доступа, полученного от жертвы.

Хоггард обнаружил CSRF-уязвимость в функции Twitter, которая дает возможность пользователям сети добавлять в учетные данные мобильное устройство, после чего с его помощью контролировать свой аккаунт.

В ходе создания CSRF-страницы Хоггард понял, что злоумышленник может ввести свой собственный номер телефона и получить доступ к аккаунту жертвы. Конечно, Twitter построен на маркерах аутентификации (токенах), которые должны защищать его пользователей от подобных атак. Однако, к сожалению, фактически Twitter не проверяет правильность введенного значения маркера. А это значит, что злоумышленник может ввести в качестве токена любое значение вообще и успешно получить подтверждение.

Хоггард утверждает, что злоумышленник может скомпрометировать аккаунт жертвы, отправив с него ссылку на вредоносный сайт, содержащий код эксплойта (CSRF-страница со ссылкой на страницу активации в Twitter с командой «Аdd a device»).

При нажатии на ссылку пользователь невольно запускает процесс аутентификации устройств злоумышленника. В результате Twitter будет ждать, пока кто-то (в данном случае атакующий) не отправит текст «GO» на короткий мобильный номер, что приведет к активации устройства. Злоумышленник тут же получит уведомление об этом и сможет твититься, отправляя сообщения от имени пользователя на все тот же короткий номер.

По словам Хоггарда, пользователи расширения NoScript не были подвержены данной уязвимости еще до того, как Twitter зафиксировал этот баг.

Twitter не отозвался на просьбу Threatpost прокомментировать ситуацию, но Хоггард продемонстрировал логи общения с командой безопасности социальной сети и отметил, что баг был исправлен потрясающе быстро. Согласно логам, Twitter получил сообщение об уязвимости утром 3 ноября и попросил Хоггарда не торопиться с публикацией результатов своих изысканий. В тот же день, судя по логам, Twitter решил эту проблему.

Категории: Мошенничество, Уязвимости