セキュアサイエンスの研究者によって木曜日にオンラインで公開されたこの攻撃は、ユーザが所定のtwitterメッセージセキュリティ科学のチーフ・サイエンティスであるランス・ジェームス氏は、「攻撃をコードに結びつけることができ、それがTwitterの邪魔になるだろう」と語った。
[詳しい読書:あなたのWindows PCからマルウェアを削除する方法]
ハックは、先月Twitterでラウンドを行っていたクリックジャック攻撃に似ています。そこでは、ハッカーは、ユーザーがリンクをクリックすることを知らずにリンクをクリックするようなやりかたの技術を使いました。このリンクは、URLと共に「クリックしない」と言ったTwitterメッセージを投稿する。
今回、Secure Scienceの研究者は、TwitterのサポートサイトでWebプログラミングエラーを利用して不要なメッセージを投稿する方法を見つけた。警告メッセージの後、Secure Scienceのテストコードは「@XSSExploits私はちょうど所有しました!」というメッセージをポストします。悪意のあるユーザーがこのバグではるかに悪化する可能性がありますが、Jamesは言います。警告画面が表示されないように攻撃を修正することができ、ユーザーがクリックする可能性が高いという賢明なメッセージで攻撃を強化することができます。ジェームズは、悪意のあるブラウザの攻撃コードと組み合わされていると、被害者のマシンを制御することができる、と彼は言いました。
"私はこの瞬間に誰も愚かではないと願っています。
Twitterは、Secure Scienceの研究者が悪用しているクロスサイトスクリプティングの欠陥を修正することで攻撃を無効にすることができますが、別の類似のバグがサイトに現れた場合、ユーザーは同じ問題に再び直面します。
Twitterの140文字制限のために、TwitterersはTinyurl.comなどの短縮されたWebリンクを使用し、信頼できるWebリンクをクリックしているかどうかはしばしば分からないという事実によって悪化している、とJamesは言った。サービスが主流の人気を得ているため、最近セキュリティ慣行が注目されています。 1月には、ハッカーたちがバラク・オバマ大統領、フォックス・ニュース、CNNのアカウントにアクセスした後、完全なセキュリティレビューを開始した。
Jamesは、彼のデモンストレーションにより、
「私たちはTwitterにダメージを与えたくない」と彼は言った。