Magnifying glass enlarging the word


gnews




Τεχνολογία


Προσέξτε – η κοινή χρήση συνδέσμου της Wikipedia στο Slack θα μπορούσε να είναι ένα σοβαρό πρόβλημα ασφαλείας



By

Marizas Dimitris

Ερευνητές

ς από το eSentire ανακάλυψαν ένα σφάλμα στον τρόπο με τον οποίο το

αποδίδει άρθρα της Wikipedia που θα μπορούσαν να χρησιμοποιηθούν για να εξαπατήσουν τους χρήστες να ανοίξουν ιστότοπους με κακόβουλο λογισμικό.

Σε δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων, συμπεριλαμβανομένου του Slack, όταν ένας χρήστης ξεχάσει να προσθέσει ένα κενό μεταξύ της τελείας και του πρώτου γράμματος της επόμενης πρότασης, η εφαρμογή θα το αντιληφθεί ως τομέα και θα αποδώσει τον σύνδεσμο ανάλογα. Πληκτρολογώντας “face.book me for…”, για παράδειγμα, θα γίνει


http://face.book


.

Τώρα, εάν ένας κακόβουλος χρήστης επεξεργαστεί ένα άρθρο της Wikipedia στο σωστό μέρος και προσθέσει μια υποσημείωση αναφοράς, μπορεί να ξεγελάσει τον Slack για να αποδώσει έναν σύνδεσμο που δεν υπάρχει στο άρθρο. Αυτός ο σύνδεσμος μπορεί αργότερα να επεξεργαστεί για να ανακατευθύνει το θύμα σε έναν κακόβουλο ιστότοπο.

Απαιτείται πολλή δέουσα επιμέλεια

Από εκείνο το σημείο και μετά, το μόνο που χρειάζεται είναι λίγη δημιουργικότητα για να κάνει το θύμα να κάνει κλικ στον σύνδεσμο στην προεπισκόπηση του κατά τα άλλα καλοήθους συνδέσμου της Wikipedia για να εμφανιστεί κακόβουλο λογισμικό.

Αυτό

και τόσο ασυνήθιστο στη Wikipedia. Οι ερευνητές βρήκαν περισσότερα από 1.000 παραδείγματα σελίδων όπου η υποσημείωση αναφοράς προστέθηκε στην ακριβή τοποθεσία για να δημιουργηθεί ένας σύνδεσμος από το παράθυρο προεπισκόπησης Slack.

Η ίδια μέθοδος λειτουργεί και σε άλλους ιστότοπους, όπως το Medium, για παράδειγμα. Ωστόσο, οι ερευνητές έχουν επικεντρωθεί στη Wikipedia επειδή πιστεύουν ότι είναι μια έγκυρη, αξιόπιστη πηγή (αν και αυτό είναι συζητήσιμο).

Προφανώς, για να λειτουργήσει, οι εισβολείς θα πρέπει πρώτα να βεβαιωθούν ότι το θύμα έχει Slack, στη συνέχεια να ενταχθούν στον χώρο

ς τους (πιθανώς μέσω ενός παραβιασμένου λογαριασμού) και να μοιραστούν έναν σύνδεσμο που θα βρει ενδιαφέρον το θύμα για να τον παρασύρει.

Δεδομένης της επιτυχίας των επιθέσεων

, σίγουρα δεν θα ήταν έκπληξη να δούμε να επιχειρείται αυτού του είδους η επίθεση. Το Slack είχε επίσης ορισμένες άλλες ανησυχίες για την ασφάλεια πρόσφατα, όπως η μάλλον χαλαρή προσέγγισή του στην αποδοχή της ενσωμάτωσης εφαρμογών τρίτων.


VIA:

TechRadar.com/


Παρόμοια άρθρα



Το 23andMe επιβεβαιώνει ότι οι χάκερ έκλεψαν…




Η ψεύτικη συμβουλευτική για την ασφάλεια του…




Πώς μια νέα προσέγγιση στις δεξιότητες είναι το…




Νέοι χάκερ της AeroBlade στοχεύουν τον…






Pro


security






Marizas Dimitris



78808 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.