18/07/19
Уязвимость в Twitter позволяет злоумышленникам создавать твиты с контентом известных сайтов, но на самом деле ведущие на иные ресурсы, в том числе фишинговые или вредоносные.
Проблему обнаружил исследователь Теренс Иден (Terence Eden), обратив внимание на рекламный твит малоизвестного аккаунта. Твит содержал статью известного СМИ, но, при переходе по указанной ссылке, перенаправлял на совсем другой web-сайт.
При публикации ссылки социальная сеть проверяет наличие специальных метатегов в HTML-коде указанной web-страницы. При наличии данных тегов Twitter на основе этой информации создает мультимедийный блок Twitter Cards, содержащий текст, изображения или видео. Злоумышленники могут манипулировать этим механизмом для создания Twitter Cards на основе метаданных другого сайта.
По словам Идена, проблема возникает, когда страница, указанная в твите, ищет user agent Twitterbot. При обнаружении user agent, бот перенаправялется на другую страницу, в противном случае будет отображаться нормальный контент. При перенаправлении для создания Twitter Card, инструмент Twitter Card Generator будет использовать метаданные той страницы, на которую он был переадресован.
Злоумышленники могут использовать данную уязвимость не только для распространения дезинформации, но и для более опасной деятельности, например, фишинга и вредоносных кампаний. Обнаружить подделанные Twitter Card сложно, поскольку твиты не отображают ссылки, а при наведении указателя мыши на URL-адрес в браузере отображается только его сокращенная версия ссылки.
В настоящее время уязвимость все еще остается неисправленной.
