QR code per la pagina originale

Twitter, allarme onMouseOver (update)

Una vulnerabilità è stata scoperta da poche ore su Twitter e già sta creando scompiglio sul network. Il problema è insito nella funzione onMouseOver

,

Nessun cenno ancora sul sito ufficiale, ma l’allarme è già di pubblico dominio: una grave vulnerabilità nel servizio online di Twitter sta mettendo a repentaglio il social network ed in pericolo l’utenza a seguito di pop-up e redirect indesiderati creati in automatico grazie a tweet appositamente confezionati allo scopo.


Il problema è insito nella possibilità di includere JavaScript all’interno dei messaggi: richiamando la funzione onMouseOver è possibile al semplice passaggio del mouse ordinare ad esempio l’apertura di una nuova finestra, oppure semplicemente il redirect verso altri siti. Diventa facile, a questo punto, l’invio di spam ad altri utenti o la proposta di messaggi truffaldini in grado di trarre in inganno l’utenza o per sottrarre credenziali, oppure per semplici finalità di spam. Nella maggior parte dei casi i primi attacchi hanno semplicemente sfruttato la funzione per abilitare redirect automatico verso siti porno.

Twitter al momento non ha rilasciato comunicazioni in merito, ma si raccomanda di usare temporaneamente soltanto applicazioni esterne (quali TweetDeck) per accedere ai propri messaggi, evitando quindi il sito ufficiale del network.

La scoperta è della vulnerabilità è stata segnalata da Graham Cluley (responsabile Sophos), il quale ha allegato al proprio post anche una serie di screenshot dimostrativi:

Twitter onmouseover

Esempio di attacco su Twitter tramite onMouseOver

Tra gli account sfruttati a fini truffaldini, Cluley segnala quello di Sarah Brown, moglie del Primo Ministro inglese Gordon Brown. Il suo account conta 1 milione di follower ed i redirect postati sulla sua bacheca hanno redirezionato in automatico l’utenza verso un sito porno cinese. Il codice di exploit, inoltre, è pubblico e a disposizione di coloro i quali intendono farne uso truffaldino almeno fintanto che il gruppo non porrà una pezza al problema.

La soluzione del problema da parte di Twitter dovrebbe essere relativamente semplice poiché si tratta di eliminare semplicemente la possibilità di includere il codice della funzione onMouseOver all’interno del network. Anche una volta risolto, però, il problema non potrà che identificare una nuova ennesima grave macchia nel processo di crescita di un social network già troppe volte colto in fallo in quanto a sicurezza, stabilità ed affidabilità.

Update
Il problema è stato risolto. La comunicazione giunge direttamente da Twitter.

Notizie su: