Megtévesztésre adhat módot egy Twitter funkció

 

Egy hónapok óta ismert Twitter hiba lehetővé teszi, hogy rosszindulatú felhasználók a tweetek manipulálásával legitim weboldalnak álcázzák saját, káros tartalmú ─ például adathalászati célú ─ oldalukat. Amikor egy felhasználó egy hivatkozást oszt meg a Twitteren, a platform ellenőrzi a weboldalt, metaadatok után kutatva. Találat esetén ezeket arra használja fel, hogy a hivatkozás számára létrehozzon egy ún. Twitter Card-ot, amelyben a megosztott weboldalhoz kapcsolódó kiegészítő információk, például egy rövid leírás, valamint média elemek (kép, videó) jeleníthetők meg. A problémát a funkció kapcsán az okozza, hogy a Card generálásához adatot gyűjtő Twitterbot átirányítható egy másik oldalra, ebben az esetben pedig már az átirányított oldal metaadatai kerülnek felhasználásra. Habár az átirányítás legitim célokat is szolgálhat ─ például lehetővé teheti, hogy egy cég különböző domain alatt működő tartalmai azonos arculattal jelenjenek meg ─ többféle visszaélésre is módot adhat. A legnagyobb kockázatot az álhír-terjesztés, valamint az adathalászat és a káros kódok terjesztése jelenti. A BleepingComputer arra is felhívja a figyelmet, hogy ez a probléma a Facebook esetében szintén releváns.

(bleepingcomputer.com)