Twitter Oauth 1.0 using Postman client
Um recurso na API do Twitter pode ser abusada por invasores para lançar ataques de engenharia social confiáveis que dariam a eles uma grande chance de seqüestrar contas de usuários, revelou um desenvolvedor de aplicativos móveis na conferência Hack in the Box em Amsterdã.
A questão tem a ver com o modo como o Twitter usa o padrão OAuth para autorizar aplicativos de terceiros, incluindo clientes de desktop ou móveis do Twitter, a interagir com contas de usuários por meio de sua API, Nicolas Seriot, uma multidão O aplicativo permite que os aplicativos especifiquem um URL de retorno de chamada personalizado, no qual os usuários serão redirecionados após conceder acesso a suas contas por meio de uma página de autorização no site do Twitter.
> [Leitura adicional: Como remover malware do seu PC com Windows]
A Seriot encontrou uma maneira de criar links especiais que, quando clicados pelos usuários, abrirão páginas de autorização de aplicativos do Twitter para clientes populares, como o TweetDeck. No entanto, essas solicitações especificariam o servidor do invasor como URLs de retorno de chamada, forçando os navegadores dos usuários a enviarem seus tokens de acesso ao Twitter ao atacante.O token de acesso permite que ações sejam executadas com a conta associada por meio da API do Twitter sem a necessidade de uma senha. Um invasor pode usar esses tokens para postar novos tweets em nome dos usuários comprometidos, ler suas mensagens privadas, modificar o local exibido em seus tweets e muito mais.
A apresentação cobriu essencialmente as implicações de segurança de permitir retornos personalizados e descreveu um método de usar este recurso para mascarar como legítimos e confiáveis clientes do Twitter, a fim de roubar tokens de acesso do usuário e seqüestrar contas, disse Seriot.
Um invasor pode enviar um email com um link para o gerente de mídia social de uma empresa importante ou organização de notícias sugerindo, por exemplo, que é um link para seguir alguém no Twitter.
Ao clicar no link, o alvo veria uma página do Twitter protegida por SSL pedindo autorização para TweetDeck, Twitter para iOS ou algum outro cliente Twitter popular, para acessar sua conta. Se o destino já estiver usando o cliente representado, ele poderá acreditar que a autorização concedida anteriormente expirou e precisará autorizar novamente o aplicativo.
Clicar no botão "autorizar" forçaria o navegador do usuário a enviar o token de acesso para o servidor do invasor, que redirecionaria o usuário de volta ao site do Twitter. O usuário não veria nenhum sinal de algo ruim acontecendo, disse Seriot.
Para realizar esse ataque e criar os links especiais, o atacante precisaria saber os tokens da API do Twitter para as aplicações que ele deseja personificar. Eles são geralmente codificados nas próprias aplicações e podem ser extraídos de várias maneiras, disse Seriot.
O desenvolvedor construiu uma biblioteca OAuth de código aberto para Mac OS X que pode ser usada para interagir com a API do Twitter e gerar links de autorização com URLs de retorno de chamada não autorizados No entanto, a biblioteca, chamada STTwitter, foi criada para fins legítimos e destina-se a adicionar suporte ao Twitter ao Adium, um cliente de bate-papo multiprotocolo popular para o Mac OS X.
Segundo a Seriot, o Twitter poderia impedir ataques desse tipo. desativando a funcionalidade de retorno de chamada de sua implementação OAuth. No entanto, ele não acredita que a empresa fará isso, porque é tecnicamente um recurso legítimo usado por alguns clientes.
O Twitter não respondeu imediatamente a uma solicitação de comentários enviada quinta-feira.
No entanto, o Obama-berry pode estar sujeito a limitações semelhantes àquelas colocadas em dispositivos usados pelos funcionários anteriores da Casa Branca. Os usuários de PDA na Administração Bush tiveram suas funções de GPS desativadas, nenhum dado sigiloso pôde ser transmitido pelos dispositivos e eles não puderam ser usados no exterior, onde as redes de celulares poderiam ser menos seguras. Considerando que Obama pretende usar seu dispositivo para uso pessoal e mensagens de rotina, essas
Equipe Obama 1, Burocratas 0
O recurso, que a AllThingsD diz que estará disponível antes do final do ano, vem depois Instagram mudou na semana passada para desabilitar a integração do Twitter para seus usuários. O duelo do Twitter com o Instagram está esquentando, já que há evidências recentes de que o serviço de rede social popular para sua função de mensagens curtas parece estar pronto para lançar seu próprio conjunto de filtros fotográficos. O recurso, que AllThingsD diz que estará disponível antes do final do ano, vem d
Você pode até ver filtros de fotos semelhantes ao Instagram aparecerem nos aplicativos do Twitter em qualquer dia, considerando Os funcionários do Twitter e até mesmo o co-fundador Jack Dorsey, ele próprio, já twittou fotos em preto e branco e alteradas por cores no site de microblog.
Usa o reconhecedor de matemática incorporado no Windows 7 para reconhecer expressões matemáticas escritas à mão. Você pode então facilmente usá-lo com processadores de texto ou tabelas computacionais. O Painel de Entrada de Matemática é projetado para ser usado com uma caneta eletrônica em um Tablet PC, mas você pode usá-lo com qualquer dispositivo de entrada, como uma tela sensível ao toque ou mesmo um mouse.
O Painel de Entrada de Matemática usa o reconhecedor de matemática incorporado no Windows 7 para reconhecer expressões matemáticas manuscritas. Você pode então facilmente usá-lo com processadores de texto ou tabelas computacionais.