Je li ti se to stvarno 'sviđalo'? Kako Chameleon napada izvire na Facebooku, Twitteru, LinkedInu

  • Oct 19, 2023

Čini se da se pogođene društvene mreže ne slažu oko opsega napada.

Društvene mreže pune su do vrha našim fotografijama, objavama, komentarima i lajkovima – potonje napadači mogu zloupotrijebiti u svrhu inkriminacije.

Znanstvenici iz Sveučilište Ben-Gurion u Negevu (BGU), Izrael, koji sugerira da bi inherentni nedostaci u društvenim mrežama mogli dovesti do oblika napada "Kameleon".

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Tim koji čine Aviad Elyashar, Sagi Uziel, Abigail Paradise i Rami Puzis iz Telekomovih laboratorija za inovacije i odjela Inženjering softvera i informacijskih sustava, kaže da slabosti u načinu na koji se sustavi za objavljivanje koriste na Facebooku, Twitteru i LinkedInu, kao i druge platforme društvenih medija, mogu se iskoristiti za miješanje u aktivnosti korisnika na način koji bi mogao biti "potpuno drugačiji, štetan i potencijalno kriminalno."

Prema istraživanju, objavljeno na arXiv.org, zanimljiva greška u dizajnu -- a ne sigurnosna ranjivost, treba napomenuti -- znači taj sadržaj uključujući postove mogu se uređivati ​​i mijenjati bez da korisnici koji su možda lajkali ili komentirali nisu svjesni toga pomaci.

Sadržaj koji također sadrži veze za preusmjeravanje, skraćen u svrhu upravljanja robnom markom i zbog ograničenja broja riječi, može biti osjetljiv i promijenjen bez prethodne obavijesti.

Tijekom eksperimenti, istraživači su koristili Chameleon metodu za promjenu javno objavljenih videa na Facebooku. Broj komentara i sviđanja ostao je isti, ali nema naznaka izmjena koje su dostupne svima koji su prethodno bili u interakciji sa sadržajem.

Vidi također: P&N banka otkriva povredu podataka, informacije o računu klijenata, izložena stanja

"Zamislite da gledate i 'lajkate' video slatke mace na svom Facebook feedu, a dan kasnije prijatelj vas zove da sazna zašto ste 'lajkali' video smaknuća ISIS-a," kaže dr. Rami Puzis, istraživač u Odjelu za inženjerstvo softvera i informacijskih sustava BGU-a. "Ponovno se prijavite i otkrijete da tamo doista postoji 'lajk'. Posljedice ukazivanja podrške lajkanjem nečega što nikada ne biste učinili (Biden vs. Trump, Yankees vs. Red Sox, ISIS vs. SAD) od poslodavaca, prijatelja, obitelji ili državnih organa koji nisu svjesni ove prijevare na društvenim mrežama mogu izazvati pustoš u samo nekoliko minuta."

Prijevare prvo padaju na pamet, ali u svijetu u kojem propaganda, lažne vijesti i uzgoj trolova haraju društvenim mrežama -- navodno uplitanje Rusije u prethodni američki izbori budući da su glavni primjer -- kao i bliske veze između našeg fizičkog i digitalnog identiteta, ove slabosti dizajna mogu imati ozbiljne posljedice za korisnike.

CNET: Pregled NordVPN-a: Još uvijek najbolja vrijednost za sigurnost i brzinu

U hipotetskom scenariju napada, istraživači kažu da bi se mogla odabrati meta i izvršiti izviđanje preko društvene mreže. Prihvatljivi postovi i poveznice tada se mogu stvoriti za "izgradnju povjerenja" s nesvjesnom žrtvom -- ili grupom -- prije promjena se vrši putem Chameleon napada, brzo mijenjajući ciljne vidljive lajkove i komentare koji se odnose na druge sadržaj.

Društvena mreža Kameleoni prije svega može poslužiti za sramotenje ili inkriminaciju, kao i za olakšavanje kreiranja i vođenja lažnih profila na društvenim mrežama, kaže Puziš. "Također se mogu koristiti za izbjegavanje cenzure i nadzora, u kojima prikrivena objava otkriva svoje pravo lice nakon što ju odobri moderator."

Kada ih je tim kontaktirao, Facebook je odbacio bilo kakvu zabrinutost, označivši problem kao phishing napad i stoga "takvi problemi ne spadaju u naš bug bounty program."

LinkedIn tim je započeo istragu.

Međutim, i Facebook i LinkedIn imaju djelomično ublažavanje jer se postavlja ikona kada se sadržaj uređuje nakon objavljivanja.

TechRepublic: Zašto baby boomeri traže IoT i analitiku kako bi ostali sigurni

Twitter je rekao da je takvo ponašanje prijavljeno platformi za mikroblogiranje u prošlosti, rekavši "iako možda nije idealno, u ovom trenutku ne vjerujem da ovo predstavlja veći rizik od mogućnosti tvitanja URL-a bilo koje vrste jer se sadržaj bilo koje web stranice također može promijeniti bez upozorenje."

WhatsApp i Instagram općenito nisu osjetljivi na ove napade, dok Reddit i Flickr mogu biti.

Na društvenim mrežama ljudi danas prosuđuju u sekundi, pa je to pitanje koje treba riješiti, pogotovo prije nadolazećih izbora u SAD-u, kaže Puziš.

Istraživanje će biti predstavljeno u travnju na web konferenciji u Taipeiju, Tajvan.

10 najgorih hakiranja i upada podataka u 2019. (u slikama)

Prethodno i povezano izvješće

  • JhoneRAT iskorištava usluge oblaka za napad na zemlje Bliskog istoka
  • Ranjivost WordPress dodatka može se iskoristiti za potpuno preuzimanje web stranice
  • EU razmatra zabranu tehnologije prepoznavanja lica u javnim prostorima

Imate savjet? Stupite u kontakt sigurno putem WhatsAppa | Signal na +447713 025 499 ili na Keybase: charlie0