Claudio Tamburrino

Twitter bucato da onmouseover

Si consiglia di accedere solo via client e di non passare per nessun motivo il cursore sulle bande nere dei tweet corrotti. Al momento le prime notizie non rivelano gli autori dell'attacco - UPDATE

UPDATE (17:00): Twitter ha comunicato di aver individuato e corretto una falla XSS sulla piattaforma.

Roma - Che qualcosa non vada è evidente appena si accede al proprio account Twitter: bande nere o comunque scure a rendere illeggibili i tweet. E, allargando la pagina e diminuendo la dimensione dei caratteri, un'enorme scritta blu in verticale a riempire il resto della pagina. Twitter è stato attaccato: l'offensiva è stata già soprannominata onmouseover. Sconosciuti al momento gli autori dell'azione, che mette in luce qualche tipo di vulnerabilità nel codice del servizio di microblogging.

Il consiglio, per arginare l'offensiva, è non utilizzare il web ma un client (Tweetdeck, Twitterrific ecc). E in ogni caso è vivamente consigliato di non cliccare/passare il mouse su link, codici e colori presenti nei tweet. Si aprono infatti automaticamente link, tra cui siti pornografici e presumibilmente portatori di malware. Il risultato cambia a seconda del browser e del sistema operativo in uso.
Sarebbe stata sfruttata una vulnerabilità che permette a messaggi pop-up e siti terzi di aprirsi all'interno del browser anche solo passandoci sopra con il cursore, e che veniva già usata dagli utenti per giochi e divertimento.

Il tutto è dilagato velocemente, e intorno alle 14 ora italiana nella maggior parte dei tweet si legge:
"http://a.no/@"onmouseover=";$('textarea:first').val(this.innerHTML);$('.status-update-form').submit()" style="color:#000;background:#000;/
Una volta diffusa la notizia dell'attacco, e probabilmente grazie ai consigli e al passaparola, il numero di tweet corrotti sembra essere rapidamente diminuito.

Claudio Tamburrino
Notizie collegate
  • AttualitàFrancia, cracker in 140 caratteriIgnoti hanno sabotato l'account ufficiale su Twitter del ministero degli Esteri transalpino. Mentre al capo dell'Interpol hanno rubato l'identità su Facebook
  • AttualitàFTC: Twitter, pensa alla sicurezzaLa piattaforma di microblogging era sotto indagine in seguito agli attacchi subiti nel 2009. La Commissione federale le impone ora misure aggiuntive. E la ammonisce a non promettere ciò non può mantenere
18 Commenti alla Notizia Twitter bucato da onmouseover
Ordina
  • Ci fa molto piacere che il problema sia client-side, e ci fa molto piacere che l'articolo dica che e' un problema per molti, ma non per tutti.

    Pero' saperne di piu' circa i client sofferenti, non farebbe poi cosi' male.

    Io ho cliccato sul link indicato dall'articolo per leggere la fonte e ho individuato dagli snapshot che uno dei browser e' sempre il solito, un altro, curiosamente, e' della mela.
  • Io ho firefox e ho avuto problemi lo stesso. La vulnerabilità è di twitter...
    non+autenticato
  • - Scritto da: mcguolo
    > Io ho firefox e ho avuto problemi lo stesso. La
    > vulnerabilità è di
    > twitter...

    E allora e' sbagliato dire "a seconda del browser e del SO", se il problema e' server side, il client poco ci fa.
  • Credo che per risultato s'intenda il modo e l'elemento di azione del mouse-over. Io ho visto almeno 3 diverse versioni dello script, probabilmente perché sfruttavano i diversi dialetti javascript dei browser.
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: mcguolo
    > > Io ho firefox e ho avuto problemi lo stesso. La
    > > vulnerabilità è di
    > > twitter...
    >
    > E allora e' sbagliato dire "a seconda del browser
    > e del SO", se il problema e' server side, il
    > client poco ci
    > fa.

    l'SO non c'entra una beata mazza, conta solo il browser. per questo motivo esistono varianti degli script, ognuno "parla" una lingua javascript diversa.
    non+autenticato
  • Diciamo che gli attacchi sono combinati: server-side e client-side.
    La parte server-side si occupa di manomettere nei link gli URL "appendendovi" del codice javascript.
    La parte client-side è, appunto, quel codice javascript che, a seconda del Browser, viene eseguito come previsto, in parte o affatto.
    H5N1
    1641
  • - Scritto da: H5N1
    > Diciamo che gli attacchi sono combinati:
    > server-side e
    > client-side.
    > La parte server-side si occupa di manomettere nei
    > link gli URL "appendendovi" del codice
    > javascript.
    > La parte client-side è, appunto, quel codice
    > javascript che, a seconda del Browser, viene
    > eseguito come previsto, in parte o
    > affatto.

    Si, ma in conclusione, chi se lo piglia il cetriolo?
  • Lascio le deduzioni alla vostra fervida immaginazione...Sorride
    H5N1
    1641
  • > E allora e' sbagliato dire "a seconda del browser
    > e del SO", se il problema e' server side, il
    > client poco ci fa.

    una spiegazione più dettagliata dell'exploit
    http://www.cloudave.com/5124/write-your-own-twitte...

    i passi 1 e 2 dell'exploit dovrebbero essere eseguiti da tutti i browser più recenti (che non hanno disabilitato il js o hanno impostazioni di protezione particolari)
    per quanto riguarda il passo 3, invece, dove presumibilmente si cerca di diffondere del malware sul pc, il S.O. potrebbe fare la differenza
    non+autenticato
  • immagino che FF con noscript sia immune, siccome gli XSS sono bloccati di default su qualuque sito... comunque parli di safari? Ti sbagli, è impossibile, sicuramente il bug è nei tuoi occhi che hanno letto la notiziaCon la lingua fuori:P:PA bocca aperta
  • - Scritto da: panda rossa

    > Pero' saperne di piu' circa i client sofferenti,
    > non farebbe poi cosi'
    > male.


    Confemro.
    Ieri praticamente non ho navigato, sarei stato curioso di vedere se colpiva Opera
    non+autenticato
  • Piccola nota, il nuovo twitter non ne è affetto.
    non+autenticato
  • vedansi http://blog.inspired.no/ (no nessun malware)

    Conslusioni: i designer di twitty sono tontiCon la lingua fuori
    non+autenticato
  • - Scritto da: bubba
    > vedansi http://blog.inspired.no/ (no nessun
    > malware)
    >
    > Conslusioni: i designer di twitty sono tontiCon la lingua fuori
    Non sono gli unici a esere tonti!
    Anche gli utenti di twitter fanno egregiamente la loro parte!
    non+autenticato
  • - Scritto da: ullala
    > Non sono gli unici a esere tonti!
    > Anche gli utenti di twitter fanno egregiamente la
    > loro parte!

    per non parlare di quelli che commentano su PI !
    non+autenticato
  • Conoscendo il boom che sta avendo il fringuello in blu, la cosa mi preoccupata.. ho un sacco di amici che lo usanoA bocca aperta
    Sgabbio
    26178