Peneliti Membuat Serangan Twitter yang Wormy

Peneliti keamanan komputer telah merancang serangan Twitter baru yang mereka katakan bisa menyebar secara viral, mirip dengan cacing pada layanan microblogging.

Serangan yang diposting online Kamis oleh para peneliti di Secure Science adalah bukti tidak berbahaya dari konsep yang memaksa pengguna untuk mengirim pesan twitter yang telah ditentukan., tetapi itu bisa diubah menjadi cacing yang sangat jahat, kata Lance James, kepala ilmuwan dengan Ilmu Pengetahuan Aman.

"Anda dapat memasangkan serangan dengan kode kami dan itu akan merobek omong kosong dari Twitter," katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Peretasan ini mirip dengan serangan clickjacking yang membuat putaran di Twitter bulan lalu. Di sana, peretas menggunakan teknik licik untuk mengelabui pengguna agar mengklik tautan tanpa menyadarinya. Tautan itu akan memposting pesan Twitter yang mengatakan "jangan klik" bersama dengan URL.

Kali ini, para peneliti Secure Science menemukan cara untuk memanfaatkan kesalahan pemrograman Web di situs dukungan Twitter untuk memposting pesan yang tidak diinginkan. Setelah pesan peringatan, kode tes Secure Science mengeposkan pesan: "@XSSExploits yang baru saja saya miliki!" ke profil korban.

Seorang pengguna jahat bisa melakukan lebih buruk dengan bug ini, bagaimanapun, kata James. Serangan itu dapat dimodifikasi sehingga tidak ada layar peringatan, dan itu bisa ditingkatkan dengan pesan sensasional bahwa pengguna akan lebih cenderung mengklik. Jika dikombinasikan dengan kode serangan perusak berbahaya, itu bisa digunakan untuk mengendalikan mesin korban, kata James.

"Aku menahan nafasku berharap tidak ada yang melakukan sesuatu yang bodoh saat ini," katanya.

Twitter dapat menonaktifkan serangan dengan memperbaiki cacat scripting lintas situs yang digunakan oleh para peneliti Ilmu Pengetahuan Aman, tetapi jika bug lain yang serupa muncul di situs, pengguna akan dihadapkan dengan masalah yang sama lagi.

Masalah ini diperparah oleh fakta bahwa karena batas 140 karakter Twitter, Twitterers menggunakan tautan web yang dipersingkat seperti Tinyurl.com dan sering tidak tahu apakah mereka mengklik tautan Web yang dapat dipercaya, kata James.

Twitter praktik keamanan telah menjadi sorotan akhir-akhir ini karena layanan telah mendapatkan popularitas mainstream. Pada bulan Januari, perusahaan melembagakan peninjauan keamanan penuh setelah peretas memperoleh akses ke akun-akun Presiden terpilih Barack Obama, Fox News, dan CNN.

James mengatakan dia berharap bahwa demonstrasi akan mendorong Twitter untuk menjadikan keamanan sebagai prioritas.

"Kami tidak ingin menyebabkan kerusakan pada Twitter," katanya.