A app TweetDeck poderá ter servido de porta de entrada para ameaças e código malicioso através de um ataque de cross-site scripting (XSS) que deverá ter afetado mais de 84 mil utilizadores.
A mensagem de @derGeruhn foi enviada de forma viral para milhões de utilizadores e continha comandos de JavaScript que faziam com que a mensagem, assim que fosse vista, fosse reencaminhada.
A vulnerabilidade encontra-se na forma como o TweetDeck faz o filtro de código nas mensagens mostradas. Esta situação demonstra a dificuldade que existe em eliminar vulnerabilidades XSS de sites e apps. «É impossível exterminar completamente.Não interessa o quão esforçados sejamos, vamos acabar por cometer algum erro», explicou o CEO da WhiteHat Security, Jeremiah Grossman, citado pelo ArsTechnica.
Nos últimos tempos, os ataques de XSS têm sido relativamente inofensivos, mas a mesma técnica pode ser usada para obter remotamente os tokens de autenticação ou ver cookies online para ter acesso a contas de utilizadores.
Os especialistas em segurança aconselham a mudar a password do Twitter e do TweetDeck para minimizar a possibilidade de ser afetado por esta falha.
A app TweetDeck poderá ter servido de porta de entrada para ameaças e código malicioso através de um ataque de cross-site scripting (XSS) que deverá ter afetado mais de 84 mil utilizadores.
A mensagem de @derGeruhn foi enviada de forma viral para milhões de utilizadores e continha comandos de JavaScript que faziam com que a mensagem, assim que fosse vista, fosse reencaminhada.
A vulnerabilidade encontra-se na forma como o TweetDeck faz o filtro de código nas mensagens mostradas. Esta situação demonstra a dificuldade que existe em eliminar vulnerabilidades XSS de sites e apps. «É impossível exterminar completamente.Não interessa o quão esforçados sejamos, vamos acabar por cometer algum erro», explicou o CEO da WhiteHat Security, Jeremiah Grossman, citado pelo ArsTechnica.
Nos últimos tempos, os ataques de XSS têm sido relativamente inofensivos, mas a mesma técnica pode ser usada para obter remotamente os tokens de autenticação ou ver cookies online para ter acesso a contas de utilizadores.
Os especialistas em segurança aconselham a mudar a password do Twitter e do TweetDeck para minimizar a possibilidade de ser afetado por esta falha.