Исследователь Майк Бэйли из Foreground Security обнаружил грубую ошибку в
конфигурации Twitter, позволяющую злоумышленникам легко получать контроль над
аккаунтами пользователей.
По его словам, ошибка заключается в том, что один из размещенных на Twitter
объектов Adobe Flash позволяет загружать файлы, размещенные практически на любом
сайте в Интернете. В числе прочих, могут быть также загружены вредоносные
скрипты JavaScript и ActionScript. Бэйли подчеркивает, что никакой вины Adobe в
наличии данной проблемы нет и все дело – в плохом качестве кода, написанного
разработчиками уязвимого Flash-объекта.
С помощью размещенного на одном из своих серверов файла XML Бэйли смог
провести атаку против специально заведенного для этой цели аккаунта, в
результате чего его вымышленный владелец признался в том, что его взломали.
Для того, чтобы скомпрометировать аккаунт, необходимо было просто кликнуть по
ссылке на сервер Бэйли, будучи при этом авторизованным на Twitter. (аддон
NoScript для Firefox блокировал эту атаку). Исследователь утверждает, что в
реальности он имеет возможность делать со взломанным аккаунтом все, что ему
заблагорассудится, в том числе – читать личные сообщения.
Найденная Бэйли брешь оставалась непропатченной более суток, пока
администрация Twitter не сообщила об
отключении злосчастного объекта Flash.
