إصلاح خطإٍ برمجيٍّ على تويتر، كان يؤدي إلى الاستيلاء
على حسابات المستخدمين
اكتشف الباحث الأمني هنري هوجارد مؤخرًا، إحدى الثغرات الخاصة بتزوير الطلبات عبر المواقع في خاصية “أضف جهاز جوال” على موقع تويتر، مما أتاح له القدرة على قراءة الرسائل المباشرة وإرسال التغريدات من أي حساب.
قام هوجارد، الباحث الأمني في MWRInfosecurity، بإخبار Threatpost عن طريق البريد الإلكتروني، أنه قد وجد الخطأ البرمجي في وقت فراغه، وأبلغ تويتر عنه. عندها، قام تويتر بإصلاح الثغرة خلال 24 ساعة، وقام هوجارد بعد ذلك بنشر التفاصيل على مدونته الشخصية.
تُجبر ثغرة تزوير الطلبات عبر المواقع، المستخدم على تنفيذ إجراءاتٍ غير مرغوبةٍ في تطبيقٍ أو خدمةٍ قام المستخدم بتوثيقها بالفعل. هذه الهجمات تنطوي عمومًا على بعض الهندسة الاجتماعية؛ مثل إرسال رسالة بريدٍ إلكترونيٍّ مع مُرفقاتٍ خبيثة. عند نجاح الهجمة، يمكنها السيطرة على حساب المستخدم، وهو الأمر الذي يمكن أن يكون له مجموعةٌ واسعةٌ من التأثيرات، اعتمادًا على التطبيق المطروح، ومستوى الحقوق الممنوحة للمستخدم المستهدَف.
في هذه الحالة، اكتشف هوجارد الخطأ البرمجي (تزوير الطلبات عبر المواقع)، في إحدى خاصيات تويتر التي تعطي للمستخدمين القدرة على إضافة جهاز الجوال الخاص بهم إلى حسابهم، وبالتالي يتحكمون في هذا الحساب عبر الرسائل النصية القصيرة، باستخدام جهاز الجوال الذي تم إضافته.
من خلال إنشاء صفحة تزوير الطلبات عبر المواقع، أدرك هوجارد أن المهاجم يمكن أن يُدخِل رقم وشبكة هاتفه الجوال إلى حساب الضحية. بالطبع، قام تويتر بإنشاء رمز توثيق داخل هذه الخاصية، من شأنه أن يمنع هذا النوع من الهجمات. للأسف، في الواقع لم يكن تويتر يتحقق من الأمر ليتأكد من أن قيمة الرمز كانت صحيحة، وهو ما يعني أن أي مهاجمٍ يمكنه أن يُدخِل أي قيمةٍ على الإطلاق للرمز، وبالتالي يحصل على الصلاحية.
يدَّعي هوجارد أنه يمكن للمهاجم أن ينال من حساب أحد الضحايا، من خلال إرسال رابطٍ خاصٍّ بموقعٍ خبيثٍ يحتوي على التعليمات البرمجية الخبيثة الخاصة به، إلى المستخدم المستهدَف (صفحة تزوير الطلبات عبر المواقع، زائد رابط لصفحة التفعيل “أضف جهاز” من موقع تويتر).
إذا قام المستخدم بالنقر على الرابط، فسوف يكون/ تكون عن غير قصدٍ قد قام بالشروع في عملية توثيقٍ لجهاز المهاجم. وبهذا، سيكون تويتر منتظرًا شخصًا ما (في هذه الحالة، المهاجم)؛ ليكتب “Go” إلى رقم الرمز القصير الذي يقوم بتفعيل الجهاز.
حينما يتم ذلك، فإن المهاجم سيتلقى إخطارًا بتفعيل الجهاز، وسيحظى الآن بالقدرة على إرسال واستقبال التغريدات، من خلال كتابة الرسالة التي يرغب بها لرقم الرمز القصير، لنفس الجهاز الجوال.
لن يتأثر المستخدمون، الذين لديهم مانع البرامج النصية مثبتًا على متصفحاتهم ـ بهذه الثغرة، حتى قبل أن يقوم تويتر بإصلاحها، وفقًا لما يقوله الباحث.
لم يستجيب تويتر لطلب للحصول على تعليق، ولكن هوجارد قدم تسجيلات لاتصالات بينه وبين فريق الأمن الخاص بتطبيق الشبكة الاجتماعية، مشيرًا إلى أن تويتر أصلح الخطأ بسرعةٍ بشكلٍ لا يُصدَّق. تُظهر السجلات أن تويتر تلقى التقرير الخاص بالخطإ البرمجي لديه، في صباح يوم 3 تشرين الثاني/ نوفمبر، وتم الطلب من هوجارد بألا ينشر النتائج التي توصل إليها على الفور. ومبكرًا بعد ظهر نفس اليوم، تشير التسجيلات إلى أن تويتر قد تمكن من حل المشكلة.