& # 39; बेतुका & # 39; दावा समर्थक कमिंग्स को ट्वीट कानूनी प्रक्रिया को कम आंका का कहना है कि अटॉर्नी जनरल
ट्विटर एपीआई में एक सुविधा (एप्लिकेशन प्रोग्रामिंग इंटरफेस) हमलावरों द्वारा विश्वसनीय सोशल इंजीनियरिंग हमलों को लॉन्च करने के लिए दुर्व्यवहार किया जा सकता है जो उन्हें उपयोगकर्ता खातों को अपहृत करने का एक बड़ा मौका देगा, मोबाइल एप्लिकेशन डेवलपर ने बुधवार को एम्स्टर्डम में बॉक्स सुरक्षा सम्मेलन में हैक में खुलासा किया।
समस्या को करना है डेस्कटॉप या मोबाइल ट्विटर क्लाइंट समेत तीसरे पक्ष के ऐप्स को प्राधिकृत करने के लिए ट्विटर ओएथ मानक का उपयोग कैसे करता है, इसके एपीआई, निकोलस सीरियट, एक भीड़ के माध्यम से उपयोगकर्ता खातों के साथ बातचीत करने के लिए स्विट्जरलैंड में स्विसक्वोट बैंक में आईइल अनुप्रयोग डेवलपर और प्रोजेक्ट मैनेजर ने गुरुवार को कहा।
ट्विटर ऐप को एक कस्टम कॉलबैक यूआरएल निर्दिष्ट करने की इजाजत देता है जहां उपयोगकर्ताओं को ट्विटर पर साइट पर प्राधिकरण पृष्ठ के माध्यम से उन ऐप्स को अपने खातों तक पहुंचने के बाद रीडायरेक्ट किया जाएगा।
[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर को कैसे हटाएं]सीरियट को विशेष लिंक तैयार करने का एक तरीका मिला, जब उपयोगकर्ताओं द्वारा क्लिक किया गया, तो ट्विटर डीक जैसे लोकप्रिय ग्राहकों के लिए ट्विटर ऐप प्राधिकरण पृष्ठ खुल जाएगा। हालांकि, उन अनुरोधों पर हमलावर के सर्वर को कॉलबैक यूआरएल के रूप में निर्दिष्ट किया जाएगा, जो उपयोगकर्ताओं के ब्राउज़र को हमलावर को अपने ट्विटर एक्सेस टोकन भेजने के लिए मजबूर करेगा।
एक्सेस टोकन ट्विटर एपीआई के माध्यम से संबंधित खाते के साथ क्रियाओं को निष्पादित करने की अनुमति देता है एक पासवर्ड एक हमलावर समझौता किए गए उपयोगकर्ताओं की तरफ से नई ट्वीट्स पोस्ट करने, उनके निजी संदेशों को पढ़ने, अपनी ट्वीट्स में प्रदर्शित स्थान को संशोधित करने, आदि के लिए इस तरह के टोकन का उपयोग कर सकता है।
प्रेजेंटेशन ने कस्टम कॉलबैक की अनुमति देने के सुरक्षा निहितार्थों को अनिवार्य रूप से कवर किया और वर्णन किया सीरियट ने कहा कि उपयोगकर्ता सुविधा टोकन और अपहरण खातों को चुरा लेने के लिए वैध और भरोसेमंद ट्विटर क्लाइंट के रूप में मास्करेड करने के लिए इस सुविधा का उपयोग करने की विधि।
एक हमलावर एक महत्वपूर्ण कंपनी के सोशल मीडिया मैनेजर को ऐसे तैयार किए गए लिंक के साथ एक ईमेल भेज सकता है या समाचार संगठन, उदाहरण के लिए, यह ट्विटर पर किसी का अनुसरण करने का एक लिंक है।
लिंक पर क्लिक करते समय, लक्ष्य एक एसएसएल-संरक्षित ट्विटर पेज देखेंगे जो उसे TweetDeck, आईओएस के लिए ट्विटर, या किसी अन्य को अधिकृत करने के लिए कहता है अपने खाते तक पहुंचने के लिए लोकप्रिय ट्विटर क्लाइंट। यदि लक्ष्य पहले से ही प्रतिरूपित ग्राहक का उपयोग कर रहा है, तो वह मान सकता है कि पहले दिया गया प्राधिकरण समाप्त हो गया है और उन्हें ऐप को दोबारा अधिकृत करने की आवश्यकता है।
"अधिकृत करें" बटन पर क्लिक करने से उपयोगकर्ता के ब्राउज़र को पहुंच टोकन भेजने के लिए मजबूर किया जाएगा हमलावर का सर्वर, जो तब उपयोगकर्ता को ट्विटर वेबसाइट पर रीडायरेक्ट करेगा। सीरियट ने कहा कि उपयोगकर्ता को कुछ बुरा होने का कोई संकेत नहीं दिखाई देगा।
इस तरह के हमले को करने के लिए और विशेष लिंक को पहले स्थान पर तैयार करने के लिए, हमलावर को एप्लिकेशन के लिए ट्विटर एपीआई टोकन जानना होगा प्रतिरूपण करना चाहता है। सीरियट ने कहा कि इन्हें आमतौर पर अनुप्रयोगों में हार्डकोड किया जाता है और कई तरीकों से निकाला जा सकता है।
डेवलपर ने मैक ओएस एक्स के लिए ओपन-सोर्स ओथ लाइब्रेरी का निर्माण किया जिसका उपयोग ट्विटर एपीआई के साथ बातचीत करने और प्राधिकरण लिंक जेनरेट करने के लिए किया जा सकता है। दुष्ट कॉलबैक यूआरएल। हालांकि, पुस्तकालय, जिसे एसटीटीविटर कहा जाता है, वैध उद्देश्यों के लिए बनाया गया था और इसका उद्देश्य मैक ओएस एक्स के लिए एक लोकप्रिय मल्टी-प्रोटोकॉल चैट क्लाइंट एडियम को ट्विटर समर्थन जोड़ना है।
सीरियट के मुताबिक, ट्विटर इस तरह के हमलों को रोक सकता है अपने ओथ कार्यान्वयन से कॉलबैक कार्यक्षमता को अक्षम करना। हालांकि, उन्हें विश्वास नहीं है कि कंपनी ऐसा करेगी, क्योंकि यह तकनीकी रूप से एक वैध विशेषता है जिसका उपयोग कुछ ग्राहकों द्वारा किया जाता है।
ट्विटर ने गुरुवार को भेजे गए टिप्पणी के अनुरोध का तुरंत जवाब नहीं दिया।
व्यापार दुर्व्यवहार इंटरनेट दुर्व्यवहार और आईएसपी देयता पर हो गया
दुनिया भर में आईएसपी को अपने ग्राहकों पर झुकाव और उन्हें काट दिया जा सकता है , अमेरिका द्वारा प्रचारित अंतर्राष्ट्रीय समझौते के तहत
शोधकर्ता: विमान प्रणाली में भेद्यता दूरस्थ विमान अपहरण की अनुमति देती है
विमानन उद्योग में उपयोग की जाने वाली संचार प्रौद्योगिकियों में सुरक्षा की कमी से यह दूरस्थ रूप से संभव हो जाता है एम्स्टर्डम में बॉक्स सुरक्षा सम्मेलन में हैक में बुधवार को पेश किए गए शोध के मुताबिक महत्वपूर्ण ऑन-बोर्ड सिस्टम और हमले विमान पर उड़ानों में कमजोरियों का फायदा उठाएं।
इंटरनेट पर अपहरण के लिए व्यापक रूप से उपयोग किए जाने वाले वायरलेस आईपी कैमरे, शोधकर्ताओं का कहना है कि
इंटरनेट से जुड़े हजारों वायरलेस आईपी कैमरे सुरक्षा फर्म क्वालिज़ के दो शोधकर्ताओं के मुताबिक, हमलावरों को सुरक्षा को कम करने और उनके फर्मवेयर को बदलने की इजाजत दी गई है।