Борьба сайта Twitter с клик-джекингом продолжается. Две недели назад этот
ресурс, предоставляющий своим пользователям возможность вести микроблоги, уже
предпринимал меры для того,
чтобы обезопасить посетителей от быстро распространяющейся инфекции
, из-за
которой ничего не подозревающие люди, кликнув по с виду безобидной кнопке, не по
своей воле рассылали публичные сообщения. И вот хакеры снова нашли лазейку для
использования уязвимости сайта к клик-джекингу.

На этот веб-разработчику из Англии Тому Грэхему удалось обнаружить, что
внесенные Twitter исправления не коснулись того раздела сайта, который
предназначен для работы с мобильными телефонами. К тому моменту, когда о его
изысканиях стало широко известно, эксплоит уже не работал, однако проведенная
Рафалем Лосом небольшая модификация все же позволяла ему успешно запускаться.

На демонстрационной странице эксплоита пользователю задается вопрос: "У тебя
детское лицо?" и содержится два варианта ответа — "да" и "нет". В случае выбора
утвердительного варианта залогиненный на Twitter человек публично заявлял
следующее: "У меня детское лицо, а у тебя?", после чего приводил ссылку на пост
Грэхема.

Причиной того, что подобный трюк сработал вновь, является то обстоятельство,
что в прошлый раз решение проблемы потребовало применения javascript. Однако код
javascript, по всей видимости, не стали внедрять в мобильный раздел сайта,
опасаясь, что это может вызвать сбои в работе у некоторых старых моделей
телефонов.



Оставить мнение