Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Уязвимость в Twitter позволяет отображать ложные ссылки

18/07/19

hack twitУязвимость в Twitter позволяет злоумышленникам создавать твиты с контентом известных сайтов, но на самом деле ведущие на иные ресурсы, в том числе фишинговые или вредоносные.

Проблему обнаружил исследователь Теренс Иден (Terence Eden), обратив внимание на рекламный твит малоизвестного аккаунта. Твит содержал статью известного СМИ, но, при переходе по указанной ссылке, перенаправлял на совсем другой web-сайт.

При публикации ссылки социальная сеть проверяет наличие специальных метатегов в HTML-коде указанной web-страницы. При наличии данных тегов Twitter на основе этой информации создает мультимедийный блок Twitter Cards, содержащий текст, изображения или видео. Злоумышленники могут манипулировать этим механизмом для создания Twitter Cards на основе метаданных другого сайта.

По словам Идена, проблема возникает, когда страница, указанная в твите, ищет user agent Twitterbot. При обнаружении user agent, бот перенаправялется на другую страницу, в противном случае будет отображаться нормальный контент. При перенаправлении для создания Twitter Card, инструмент Twitter Card Generator будет использовать метаданные той страницы, на которую он был переадресован.

Злоумышленники могут использовать данную уязвимость не только для распространения дезинформации, но и для более опасной деятельности, например, фишинга и вредоносных кампаний. Обнаружить подделанные Twitter Card сложно, поскольку твиты не отображают ссылки, а при наведении указателя мыши на URL-адрес в браузере отображается только его сокращенная версия ссылки.

В настоящее время уязвимость все еще остается неисправленной.

Темы:TwitterУгрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...