示意圖,與新聞事件無關。

圖片來源: 

Twitter

研究人員去年數度揭露推特(Twitter)一項利用簡訊挾持帳號的漏洞,推特對外宣稱已經修補好,不過研究人員隨後發動攻擊打臉。

安全業者Insinia Security於去年3月首次揭露推特的漏洞。除了利用網頁或手機app,推特也接受簡訊發文。這個漏洞即位於推特處理文字簡訊的過程中,只要取得某人電話號碼,即可利用漏洞挾持其推特帳號。這漏洞一旦被國家或犯罪組織利用,即可用來亂發文破壞人或公司的名譽,或是經由記者或名人帳號散佈假新聞、有害網站連結,或是騷擾他人的訊息。此外,還可以發動更多進階攻擊,像是蒐集有效推特帳號、對他人發動社交工程攻擊騙取資訊、或在PC植入惡意程式等。

Insinia Security表示他們多年來呼籲簡訊及以行動網路來驗證身份的安全性,並曾於3 月和11月透過媒體報導發出警告。正當推特上周五表示已補好這項漏洞時,這家公司的研究人員直接對英國電視名人Louis Theroux 、Eamonn Holmes等人的推特帳號下手,挾持其帳號發文、轉推及按讚、以追蹤/停止追蹤其他帳號等。

對於這個頗有爭議的「提醒」,Insinia Security執行長Mike Godfrey對The Guardian表示,此舉旨在突顯問題,促使推特關閉該漏洞。他們還說兩個月前就已通知Theroux。不過他們並未透露他們如何取得名人的電話號碼。

研究人員呼籲用戶應從推特帳號移除電話號碼,推特也應停止以簡訊驗證,因為雙因素驗證的使用已愈來愈普及。此外,由於SIM卡調換(SIM Swap)攻擊愈來愈頻繁,他們也建議推特應切斷電話號碼和帳號連結,停止用簡訊發送推文的功能。


Advertisement

更多 iThome相關內容