Уразливість в Twitter дозволяє зловмисникам створювати твіти з контентом відомих сайтів, але насправді вони ведуть на інші ресурси, в тому числі фішингові або шкідливі.
Проблему виявив дослідник Теренс Іден (Terence Eden), звернувши увагу на рекламний твіт маловідомого екаунта. Твіт містив статтю відомого ЗМІ, але, при переході по вказаному посиланню, перенаправляв на зовсім інший web-сайт.
При публікації посилання соціальна мережа перевіряє наявність спеціальних метатегів у HTML-коді зазначеної web-сторінки. При наявності даних тегів Twitter на основі цієї інформації створює мультимедійний блок Twitter Cards, що містить текст, зображення або відео. Зловмисники можуть маніпулювати цим механізмом для створення Twitter Cards на основі метаданих іншого сайту.
За словами Ідена, проблема виникає, коли сторінка, зазначена в твіті, шукає user agent Twitterbot. При виявленні user agent, бот перенаправляється на іншу сторінку, в іншому випадку буде відображатися нормальний контент. При перенаправленні для створення Twitter Card, інструмент Twitter Card Generator буде використовувати метадані тієї сторінки, на яку він був переадресований.
Зловмисники можуть використовувати цю уразливість не тільки для поширення дезінформації, але і для більш небезпечної діяльності, наприклад, фішингу та шкідливих кампаній. Виявити підроблені Twitter Card складно, оскільки твіти не відображують посилання, а при наведенні покажчика миші на URL-адресу в браузері відображається тільки її скорочена версія.
До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.
Також фахівці Check Point виявили новий вид шкідливого ПЗ для Android, який встиг заразити більше 25 млн пристроїв.
Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.
Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.
Зверніть увагу, співробітники Служби безпеки України спільно з партнерами із США припинили діяльність потужного хакерського угруповання. Відео замаскованого центру дивіться тут.
