Twitter zaifligi soxta havolalarni ko’rsatishga imkon beradi
Hujumchilar zaiflikdan nafaqat dezinformatsiyani tarqatish, balki zararli harakatlar uchun ham foydalanishlari mumkin.
Twitterdagi zaiflik tajovuzkorlarga taniqli saytlar mazmuni bilan tvitlar yaratish imkonini beradi, lekin aslida boshqa manbalarga, jumladan, fishing yoki zararli manbalarga olib keladi. Muammoni tadqiqotchi Terens Eden aniqladi, u e’tiborni kam ma’lum akkauntning reklama tvitiga qaratdi. Tvitda taniqli ommaviy axborot vositalarining maqolasi bor edi, biroq ko‘rsatilgan havolani bosgandan so‘ng u butunlay boshqa veb-saytga yo‘naltirildi.
Havola nashr etilganda, ijtimoiy tarmoq ko’rsatilgan veb-sahifaning HTML kodida maxsus meta teglar mavjudligini tekshiradi. Agar ushbu teglar mavjud bo’lsa, Twitter ushbu ma’lumotdan matn, tasvir yoki videoni o’z ichiga olgan Twitter Cards multimedia blokini yaratish uchun foydalanadi. Hujumchilar boshqa saytning metamaʼlumotlari asosida Twitter kartalarini yaratish uchun ushbu mexanizmni boshqarishi mumkin.
Edenning so’zlariga ko’ra, muammo tvitda havola qilingan sahifa Twitterbot foydalanuvchi agentini qidirganda yuzaga keladi. Agar foydalanuvchi agenti topilsa, bot boshqa sahifaga yo’naltiriladi, aks holda u oddiy tarkibni ko’rsatadi. Twitter kartasini yaratish uchun qayta yo’naltirishda Twitter Card Generator vositasi qayta yo’naltirilgan sahifaning metama’lumotlaridan foydalanadi.
Hujumchilar bu zaiflikdan nafaqat noto’g’ri ma’lumot tarqatish, balki fishing va zararli dasturlar kabi xavfliroq harakatlar uchun ham foydalanishi mumkin. Soxta Twitter kartalarini aniqlash qiyin, chunki tvitlar havolalarni ko’rsatmaydi va brauzerda URL manziliga kursorni olib borish faqat havolaning qisqartirilgan versiyasini ko’rsatadi.
Zaiflik hozircha tuzatilmagan.
