Tin An Ninh Mạng

“Sâu” cực mạnh lợi dụng lỗ hổng XSS tấn công Twitter

hacker 9

Twitter ngày hôm qua đã bị tấn công bởi một loại sâu máy tính cực mạnh khai thác lỗ hổng trong ứng dụng TweetDeck, ứng dụng quản lý tài khoản Twitter phổ biến nhất hiện nay, khiến hàng chục nghìn tài khoản người dùng tự động gửi đi một thông điệp có chứa mã tự lan truyền.

{

}

1490893038twitter-worm.jpg

Nguồn: Aurich Lawson/ Universal Pictures


Chỉ trong vòng vài giờ, vụ tấn công XSS đã khiến ít nhất 84.700 người dùng retweet một thông điệp duy nhất, được gửi lên lần đầu bởi tài khoản @derGeruhn. Phần nội dung của thông điệp chứa các lệnh Java Scripts có thể khiến bất cứ ai đọc nó trên ứng dụng TweetDeck sẽ tự động retweet. Càng nhiều người đọc thì thông điệp này càng được xem và retweet bởi những người dùng TweetDeck với tốc độ nhanh hơn. Chỉ riêng tài khoản của BBC News đã đẩy số người theo dõi thông điệp lên con số 10,1 triệu.

Đây không phải lần đầu Twitter bị sâu tấn công.Các loại sâu dựa trên khai thác clickjacking và XSS được ghi nhận từ năm 2009, hay để phát tán các thông điệp độc hại vào năm 2011.


Các dòng tweet bị phát tán một cách không kiểm soát có nguyên nhân từ một lỗ hổng phần mềm khiến TweetDeck không lọc được các đoạn code ra khỏi thông điệp một cách chính xác. Kết quả là chính ứng dụng lại thực thi các lệnh JavaScript trong nội dung thông điệp khiến tài khoản người dùng tự động retweet thông điệp. Vụ việc là ví dụ cho thấy sự khó khăn trong việc loại bỏ lỗ hổng XSS ra khỏi các website hay ứng dụng. Ngay cả khi các nhà phát triển đẩy mạnh các biện pháp lọc mã độc hại ra khỏi nội dung do người dùng cung cấp thì vẫn luôn có cách để lách luật.

Các loại sâu trên Twitter được phát hiện vài năm trở lại đây có phần khá hiền lành, đa phần là những trò đùa hay tệ nhất cũng chỉ là những vụ spam mang mục đích lừa đảo. Các vụ tấn công XSS có tác động nghiêm trọng hơn nhiều, bởi nó cho phép tin tặc từ một máy tính khác có thể chiếm được token xác thực và cookie mà các dịch vụ trực tuyến dùng để cấp quyền truy cập tới tài khoản người dùng hay các nội dung hạn chế truy cập khác của website. Hồi tháng 4, các nhà nghiên cứu ghi nhận một lỗ hổng XSS biến 22.000 người dùng thành máy zombie trong một hệ thống botnet chuyên DDoS. Hay sâu Samy hồi năm 2005 đã giúp tác giả của nó có được hơn 1 triệu follower trên mạng xã hội MySpace, đồng thời đánh sập trang trong 1 ngày.

Chưa có dấu hiệu nào cho thấy vụ việc hôm thứ tư xuất phát từ âm mưu bất chính, tuy nhiên cũng không thể loại trừ khả năng này. Để đề phòng, người dùng TweetDeck có thực hiện đăng nhập hôm thứ tư nên reset lại mật khẩu cho cả TweetDeck và tài khoản Twitter của mình. TweetDeck tuyên bố hiện đã fix được lỗi này.


Nguồn: Arstechnica

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !