টুইটার অ্যথ বৈশিষ্ট্যগুলি অ্যাকাউন্টগুলি অপহরণে অপব্যবহার করা যেতে পারে, গবেষক বলেছেন

টুইটার API- এ একটি বৈশিষ্ট্য (অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস) বিশ্বাসযোগ্য সোশ্যাল ইঞ্জিনিয়ারিং আক্রমনের জন্য আক্রমণকারীদের দ্বারা অপব্যবহার করতে পারে যা তাদের ব্যবহারকারী অ্যাকাউন্ট হাইজ্যাকিংয়ের একটি উচ্চ সুযোগ দেবে, একটি মোবাইল অ্যাপ্লিকেশন বিকাশকারী বুধবার প্রকাশিত আমস্টারডামের বক্স নিরাপত্তা সম্মেলনে হ্যাক।

সমস্যাটি করতে হবে কীভাবে টুইটার অপারেটিং সিস্টেম ব্যবহার করে ডেস্কটপ বা মোবাইল টুইটার ক্লায়েন্ট সহ তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি অনুমোদন করে, তার API, নিকোলাস সেরিয়টের মাধ্যমে একটি অ্যাকাউন্টের মাধ্যমে ব্যবহারকারী অ্যাকাউন্টের সাথে যোগাযোগ করতে। সুইজারল্যান্ডের সুইসকোর্ট ব্যাংকের আইলস ডেভেলপার এবং প্রকল্প ব্যবস্থাপক, বৃহস্পতিবার বলেন।

টুইটার অ্যাপগুলিকে একটি কাস্টম কলব্যাক ইউআরএল নির্দিষ্ট করার অনুমতি দেয় যেখানে ব্যবহারকারীরা সেই অ্যাপগুলিকে টুইটারের সাইটের অনুমোদন পৃষ্ঠার মাধ্যমে তাদের অ্যাকাউন্ট অ্যাক্সেস করার পরে পুনঃনির্দেশিত করা হবে।

[আরও পঠন: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

সিরিয়াস একটি বিশেষ লিঙ্ক তৈরির একটি উপায় খুঁজে পেয়েছে যে, যখন ব্যবহারকারীদের দ্বারা ক্লিক করা হয়, TweetDeck এর মতো জনপ্রিয় ক্লায়েন্টদের জন্য টুইটার অ্যাপ্লিকেশন অনুমোদন পৃষ্ঠা খুলবে। তবে, যারা অনুরোধগুলি আক্রমণকারীর সার্ভারকে কলব্যাক ইউআরএল হিসাবে নির্দিষ্ট করে দেবে, ব্যবহারকারীদের ব্রাউজার আক্রমণকারীকে তাদের টুইটার অ্যাক্সেস টোকেন প্রেরণ করতে বাধ্য করবে।

অ্যাক্সেস টোকেনটি অ্যাক্সেস টোকেনের সাহায্যে Twitter API এর মাধ্যমে সংশ্লিষ্ট অ্যাকাউন্টের সাথে কাজ করার অনুমতি দেয় একটি পাসওয়ার্ড একটি আক্রমণকারী আপোস ব্যবহারকারীদের পক্ষে নতুন টুইট পোস্ট করার জন্য এই ধরনের টোকেন ব্যবহার করতে পারে, তাদের ব্যক্তিগত বার্তাগুলি পড়তে পারে, তাদের টুইটগুলিতে প্রদর্শিত অবস্থান সংশোধন করে এবং আরও অনেক কিছু করতে পারে।

উপস্থাপনাটি মূলত কাস্টম কলব্যাকের অনুমতির নিরাপত্তা প্রভাবকে আচ্ছাদিত করে এবং একটি বর্ণিত হয়েছে ব্যবহারকারীর অ্যাকসেস টোকেন এবং হাইজ্যাক অ্যাকাউন্টগুলি চুরি করার জন্য এই বৈশিষ্ট্যটি ব্যবহার করার জন্য বৈধ এবং বিশ্বস্ত টুইটার ক্লায়েন্টদের মেসেজে ব্যবহার করার পদ্ধতি, Seriot বলেছেন।

একজন আক্রমণকারী একটি গুরুত্বপূর্ণ কোম্পানির সোশ্যাল মিডিয়া ম্যানেজারের সাথে এই ধরনের একটি ডিজাইনের সাথে একটি ইমেল পাঠাতে পারে উদাহরণস্বরূপ, এটি টুইটারে কেউ অনুসরণ করার জন্য একটি লিঙ্ক।

লিঙ্কটি ক্লিক করার সময়, একটি SSL- সুরক্ষিত টুইটার পৃষ্ঠাটি তাকে TweetDeck, iOS এর জন্য টুইটার, বা অন্য কোনওটিকে অনুমোদন করার জন্য জিজ্ঞাসা করবে। জনপ্রিয় টুইটার ক্লায়েন্ট, তার অ্যাকাউন্ট অ্যাক্সেস। যদি লক্ষ্য ইতিমধ্যেই ছদ্মবেশিত ক্লায়েন্ট ব্যবহার করা হয়, তবে তিনি বিশ্বাস করতে পারেন যে পূর্বে অনুমোদিত অনুমোদন শেষ হয়ে গেছে এবং এটিকে অ্যাপ্লিকেশনটি পুনরায় অনুমোদন করতে হবে।

"অনুমোদন" বোতামটি ক্লিক করলে ব্যবহারকারীর ব্রাউজার অ্যাক্সেস টোকেন প্রেরণ করতে বাধ্য করবে আক্রমণকারীর সার্ভার, যা ব্যবহারকারীকে আবার টুইটারের ওয়েবসাইটে পুনর্নির্দেশ করবে। ব্যবহারকারীর কোনও খারাপ ঘটনার কোনও চিহ্ন দেখতে পাবেন না, Seriot বলেন।

এই ধরনের হামলা চালানোর জন্য এবং প্রথম স্থানে বিশেষ লিঙ্ক তৈরি করার জন্য, আক্রমণকারীকে অ্যাপ্লিকেশনের জন্য টুইটার API টোকেন জানতে হবে। ছদ্মবেশিতা করতে ইচ্ছুক এইগুলি সাধারণত অ্যাপ্লিকেশনগুলিতে কঠোর পরিশ্রম করে এবং বিভিন্ন উপায়ে এক্সট্রাক্ট করা যায়।

বিকাশকারী একটি ওপেন সোর্স ওএইউথ লাইব্রেরির তৈরি করেছেন যা ম্যাক ওএস এক্সের সাথে ব্যবহার করা যেতে পারে যা টুইটার API এর সাথে যোগাযোগ করতে এবং এর সাথে অনুমোদন লিঙ্ক তৈরি করতে পারে দুর্বৃত্ত কলব্যাক URL গুলি যাইহোক, STTwitter নামে পরিচিত লাইব্রেরীটি বৈধ উদ্দেশ্যে নির্মিত হয়েছিল এবং ম্যাক ওএস এক্সের জন্য একটি জনপ্রিয় মাল্টি-প্রোটোকল চ্যাট ক্লায়েন্ট অ্যাডিয়ামকে টুইটারের সমর্থন যোগ করতে চাইছে।

সেরিয়টের মতে, টুইটার এই ধরনের হামলা প্রতিরোধ করতে পারে এর OAuth বাস্তবায়ন থেকে কলব্যাক কার্যকারিতা অক্ষম করা যাইহোক, তিনি বিশ্বাস করেন না যে কোম্পানি এটি করবে, কারন এটা কিছুটা ক্লায়েন্টদের দ্বারা ব্যবহৃত একটি বৈধ বৈশিষ্ট্য।

টুইটারটি বৃহস্পতিবার মন্তব্য করার জন্য অবিলম্বে একটি অনুরোধের প্রতিক্রিয়া জানায়নি।