Специалист по безопасности Джонатан Руденберг (Jonathan Rudenberg) разгласил информацию об уязвимости в Facebook, Twitter, платёжной системе Venmo и некоторых других сервисах, которые привязываются к номеру мобильного телефона. Он обнаружил уязвимость в августе 2012 года - и уведомил о ней отделы безопасности должных компаний. Facebook исправил баг 28 ноября 2012 года и пообещал выплатить вознаграждение, а вот Twitter медлит до сих пор.
Поскольку прошло уже больше трёх месяцев, Джонатан Руденберг думает возможным разгласить информацию.
Идея атаки в том, что если знать мобильный телефон жертвы, то можно отослать бюллетень на длинный номер Twitter’а через специализированный гейт, подделав номер в SMS. Многие гейты позволяют указывать в бюллетене произвольный номер телефона или абсолютно произвольный идентификатор.
Всякий пользователь твиттера уязвим к подобной атаке, если он привязал к аккаунту свой номер телефона и не определил защиту по пинкоду.
Кроме подделки бюллетеней в твиттере, злоумышленник получает вероятность редактировать чужой специальность, привязывать к специальности произвольный URL, «фоловить» произвольных юзеров, отправлять личные бюллетени и выполнять другие SMS-команды от чужого лики.
Джонатан Руденберг отрекомендовывает компании Twitter абсолютно перешагнуть на использование коротких номеров для приёма входящих бюллетеней. Обычно на короткие номера не удаётся отослать бюллетень через гейт. Как вариант, можно перешагнуть на двухступенчатую процедуру выполнения команд, то есть после каждого бюллетени отправлять пользователю подтверждающий код.
The expert in safety of Dzhonatan Rudenberg (Jonathan Rudenberg) has divulged the information on vulnerability in Facebook, Twitter, payment system Venmo and some other services which become attached to mobile phone number. He has found out vulnerability in August, 2012 — and has notified on it departments of safety of the corresponding companies. Facebook has corrected a bug on November, 28th, 2012 and has promised to pay compensation, and here Twitter hesitates till now. As has passed more than three months, Dzhonatan Rudenberg considers possible to divulge the information.
Idea of attack that if to know a mobile phone of a victim it is possible to send the message on long number Twitter’а through a specialised gate, having forged number in SMS. Many gates allow to specify any phone number or at all any identifier in the message.
Any user твиттера is vulnerable to similar attack if it has adhered the phone number to an account and has not established protection on a PIN code.
Except a fake of messages in твиттере, the malefactor has an opportunity to edit another's profile, to adhere to a profile any URL, «фоловить» any users, to send personal messages and to carry out other SMS commands from another's person.
Dzhonatan Rudenberg recommends companies Twitter to pass completely to use of short numbers for reception of entering messages. Usually on short numbers it is not possible to send the message through a gate. As a variant, it is possible to pass to two-level procedure of performance of commands, that is after each message to send to the user confirming code.
Вот же "гады" какие, ну что с ними делать?
ОтветитьУдалить