2012年12月9日 星期日

Twitter修補簡訊攻擊漏洞


Twitter修補簡訊攻擊漏洞

Facebook及付款機制Venmo也有類似的問題,但在接獲研究人員的報告之後,分別於8月及11月修補該問題。Jonathan Rudenberg認為Twitter修補之後的機制仍無法保護合作電信廠商之外的使用者,並建議使用者關閉Twitter的簡訊操作功能。 

資安研究人員Jonathan Rudenberg周一(12/3)指出,如果使用者在Twitter個人資料中公布手機號碼,極容易遭他人使用簡訊(SMS)進行攻擊,隔日Twitter旋即表示已經修補此問題。

Twitter允許使用者利用手機傳送簡訊到Twitter的代表門號來使用許多指令,包含追蹤、取消追蹤、發佈訊息、轉推訊息、修改個人資料等。早期許多使用者利用簡訊操作Twitter,但在改用智慧型手機之後已經不再透過簡訊操作,卻未取消設定。

在部分國家Twitter與電信廠商合作使用特殊的簡短門號,使用者如果使用該電信廠商的門號,在Twitter帳號內設定手機門號之後,可以透過該簡短門號操作。其他的門號則必須傳送到位於英國、德國及芬蘭的三個標準門號。

問題是目前許多方法可以輕易變更簡訊發出的號碼,例如歐洲地區發出一則偽裝成其他門號簡訊的費用僅需0.07歐元,所以當使用者在Twitter個人資料中公布手機號碼,即使無法取得使用者的手機,也很可能被他人冒名使用。

Facebook及付款機制Venmo也有類似的問題,但在接獲研究人員的報告之後,分別於8月及11月修補該問題,唯有Twitter尚未解決,因此研究人員決定直接公開此問題,Twitter隔日(12/4)以電子郵件表示問題已經解決。

但Jonathan Rudenberg認為這樣的機制仍無法保護合作電信廠商之外的使用者,並建議使用者關閉Twitter的簡訊操作功能,若真有必要開啟,則建議使用者添加一個4位數PIN碼作為保護,不過該PIN碼保護模式不適用於美國地區。(編譯/沈經)

轉載自《iThome》

沒有留言:

張貼留言