Специалист по безопасности Джонатан Руденберг (Jonathan Rudenberg) разгласил информацию об уязвимости в Facebook, Twitter, платёжной системе Venmo и некоторых других сервисах, которые привязываются к номеру мобильного телефона. Он обнаружил уязвимость в августе 2012 года — и уведомил о ней отделы безопасности соответствующих компаний. Facebook исправил баг 28 ноября 2012 года и пообещал выплатить вознаграждение, а вот Twitter медлит до сих пор. Поскольку прошло уже больше трёх месяцев, Джонатан Руденберг считает возможным разгласить информацию.

Идея атаки в том, что если знать мобильный телефон жертвы, то можно отправить сообщение на длинный номер Twitter’а через специализированный гейт, подделав номер в SMS. Многие гейты позволяют указывать в сообщении произвольный номер телефона или вовсе произвольный идентификатор.

Любой пользователь твиттера уязвим к подобной атаке, если он привязал к аккаунту свой номер телефона и не установил защиту по пинкоду.

Кроме подделки сообщений в твиттере, злоумышленник получает возможность редактировать чужой профиль, привязывать к профилю произвольный URL, «фоловить» произвольных юзеров, отправлять личные сообщения и выполнять другие SMS-команды от чужого лица.

Джонатан Руденберг рекомендует компании Twitter полностью перейти на использование коротких номеров для приёма входящих сообщений. Обычно на короткие номера не удаётся отправить сообщение через гейт. Как вариант, можно перейти на двухступенчатую процедуру выполнения команд, то есть после каждого сообщения отправлять пользователю подтверждающий код.



Оставить мнение