سیکورٹی

ٹویٹر API میں ایک خصوصیت (پروگرام پروگرامنگ انٹرفیس) حملہ آوروں نے قابل اعتماد سوشل انجینئرنگ کے حملوں کو شروع کرنے کے لۓ زیادتی کا سامنا کیا ہے جو انہیں صارفین کے اکاؤنٹس کو ہجوم کرنے کا ایک بہت بڑا موقع فراہم کرے گی. ایک موبائل ایپلیکیشن ڈویلپر نے بدھ کو ایمسٹرڈیم میں باکس سیکورٹی کانفرنس میں ہیک پر ایک موبائل ایپلیکیشن ڈویلپر کا اظہار کیا.

مسئلہ اس کے ساتھ ٹویٹر OAuth معیار کا استعمال کرتا ہے کہ اس کے API، نکولس سیریوٹ کے ذریعے صارف اکاؤنٹس کے ساتھ بات چیت کرنے کے لئے، ڈیسک ٹاپ یا موبائل ٹویٹر کلائنٹ سمیت، تیسرے فریق کے اطلاقات کو مستحق کرنے کے لۓ، ایک موڈ سوئٹزرلینڈ ميں ايلي ايپليشنز بزنس اور پراجیکٹ مينيجر نے سوئٹزرلینڈ ميں سويسکوٹ بينک ميں جمعرات کو کہا.

ٹويس اطلاقات کو اپنی مرضی کے کالم URL کو متعين کرنے کي اجازت دیتا ہے جہاں صارفین کو ان ائپس کو اپنے اکاؤنٹس تک رسائی حاصل کرنے کے بعد ٹويٹ کی سائٹ پر اختيار کے ذريعہ تک رسائی حاصل ہوگی.

[مزید پڑھنے: اپنے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

سیریو نے خصوصی لنکس کو تیار کرنے کا ایک طریقہ پایا، جب صارفین کی طرف سے کلک کیا جائے تو، ٹویٹ ڈیک کی طرح مقبول گاہکوں کیلئے ٹویٹر اے پی کی اجازت کے صفحات کھولیں گے. تاہم، ان درخواستوں پر حملہ آور کے سرور کو کال بیک یو آر ایل کے طور پر مقرر کیا جائے گا، صارفین کے براؤزر کو حملہ آور کو اپنے ٹویٹر تک رسائی کے ٹوکنوں کو بھیجنے کے لۓ مجبور کرے گا.

رسائی ٹوکن کو ٹویٹر ایپل کے ذریعہ کارروائی کرنے کے لۓ اقدامات کرنے کی اجازت دیتا ہے. پاسورڈ ایک حملہ آور اس طرح کی ٹوکیاں استعمال کرنے والے صارفین کی طرف سے نئے ٹویٹس پوسٹ کرنے کے لۓ اپنے ذاتی پیغامات کو پڑھنے اور اپنے ٹویٹس میں دکھائے جانے والی جگہ میں ترمیم کرسکتے ہیں. Seriot نے کہا کہ

ایک حملہ آور نے ایک اہم کمپنی کے سوشل میڈیا مینیجر کو ایک طرح کے تیار شدہ لنک کے ساتھ ایک ای میل بھیج سکتا ہے. یا نیوز تنظیم کا مشورہ دیتے ہیں، مثال کے طور پر، یہ ٹویٹر پر کوئی پیروی کرنے کا ایک لنک ہے.

جب لنک پر کلک کریں تو، یہ ہدف ایک SSL محفوظ شدہ ٹویٹر پیج دیکھیں گے کہ اسے TweetDeck، iOS کے ٹویٹر، یا کچھ مقبول ٹویٹر کلائنٹ، اپنے اکاؤنٹ تک رسائی حاصل کرنے کے لئے. اگر ہدف پہلے سے منسوب کلائنٹ کا استعمال کررہا ہے، تو وہ اس پر یقین رکھتا ہے کہ پہلے سے منظور شدہ اجازت ختم ہوگئی ہے اور انہیں ایپ کو دوبارہ مسترد کرنے کی ضرورت ہے.

"اختیار" بٹن پر کلک کرنے کے لئے صارف کے براؤزر کو رسائی کے ٹوکن بھیجنے کے لئے مجبور کرے گا. حملہ آور سرور، جسے پھر صارف کو واپس ٹویٹر کی ویب سائٹ پر ری ڈائریکٹ کریں گے. Seriot نے کہا کہ صارف کسی بھی خراب ہونے کے کسی بھی نشانی کو نہیں دیکھ سکیں گے.

اس طرح کے ایک حملے کو انجام دینے اور پہلی جگہ پر خصوصی لنکس تیار کرنے کے لئے، حملہ آور کو ایپلی کیشنز کے لئے ٹویٹر API ٹوکن جاننے کی ضرورت ہوگی. امید کرنا چاہتا ہے. Seriot نے کہا کہ یہ عام طور پر ایپلی کیشنز میں hardcoded ہیں اور کئی طریقے سے نکالا جا سکتا ہے.

ڈویلپر نے میک OS X کے لئے ایک کھلا ذریعہ OAuth لائبریری بنایا ہے جس کے ساتھ ٹویٹر API کے ساتھ بات چیت کرنے اور اس کے ساتھ اجازت کے لنکس پیدا کرنے کے لئے استعمال کیا جا سکتا ہے. روگ کال بیک یو آر ایل. تاہم، لائبریری، جو STTwitter کہا جاتا ہے وہ جائز مقاصد کے لئے تیار کیا گیا تھا اور اس کا مقصد ایڈومیم، میک OS X کے لئے مقبول کثیر پروٹوکول چیٹ کلائنٹ کو ٹویٹر کی حمایت شامل کرنے کا ارادہ رکھتا ہے.

Seriot کے مطابق، ٹویٹر اس طرح کے حملوں کو روک سکتا ہے اس OAuth عمل درآمد سے کال بیک بیک فعالیت کو غیر فعال کرنا. تاہم، وہ اس بات پر یقین نہیں کرتا کہ کمپنی یہ کرے گی، کیونکہ یہ تکنیکی طور پر ایک جائز خصوصیت ہے جسے کچھ کلائنٹ کی طرف سے استعمال کیا جاتا ہے.

ٹویٹر نے فوری طور پر جمعہ کو بھیجنے کے لئے ایک درخواست کی درخواست نہیں کی.