Bundan gerçekten 'beğendin mi'? Bukalemun saldırıları Facebook, Twitter ve LinkedIn'de nasıl yayılıyor?

  • Oct 19, 2023

Etkilenen sosyal ağlar saldırının kapsamı konusunda aynı fikirde değil gibi görünüyor.

Sosyal ağlar ağzına kadar fotoğraflarımız, gönderilerimiz, yorumlarımız ve beğenilerimizle doludur; bunlardan sonuncusu saldırganlar tarafından suçlama amacıyla kötüye kullanılabilir.

Akademisyenler tarafından "Bukalemun Saldırısı: Çevrimiçi Sosyal Medyada İçerik Gösterimini Manipüle Etmek" başlıklı yeni bir makale yayınlandı. Negev Ben-Gurion Üniversitesi (BGU), İsrail, sosyal ağlardaki doğal kusurların bir tür "Bukalemun" saldırısına yol açabileceğini öne sürüyor.

Güvenlik

  • Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
  • Telefonunuzdaki casus yazılımları bulma ve kaldırma
  • En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
  • Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?

Ekip, Telekom İnovasyon Laboratuvarları ve Teknoloji Departmanından Aviad Elyashar, Sagi Uziel, Abigail Paradise ve Rami Puzis'ten oluşuyor. Yazılım ve Bilgi Sistemleri Mühendisliği, Facebook, Twitter ve LinkedIn'in yanı sıra paylaşım sistemlerinin kullanımındaki zayıflıkların da bulunduğunu söylüyor. Diğer sosyal medya platformları, kullanıcı faaliyetlerini "tamamen farklı, zararlı ve potansiyel olarak suçlu."

Araştırmaya göre, arXiv.org'da yayınlandı, ilginç bir tasarım hatasının (bunun bir güvenlik açığından çok, dikkate alınması gerekir) içeriğin gönderiler de dahil olmak üzere, beğenmiş veya yorum yapmış kullanıcılara herhangi bir bildirimde bulunulmadan düzenlenebilir ve değiştirilebilir vardiyalar.

Marka yönetimi amacıyla ve kelime sayısı kısıtlamalarını hesaba katmak için kısaltılmış, yönlendirme bağlantıları içeren içerik de duyarlı olabilir ve önceden haber verilmeden değiştirilebilir.

Sırasında deneyler, araştırmacılar Facebook'ta herkese açık olarak yayınlanan videoları değiştirmek için Chameleon yöntemini kullandılar. Yorumlar ve beğeni sayıları aynı kaldı ancak içerikle daha önce etkileşime giren herhangi birinin kullanımına sunulan herhangi bir değişiklik belirtisi yok.

Ayrıca bakınız: P&N Bank veri ihlalini, müşteri hesap bilgilerini ve açığa çıkan bakiyeleri açıklıyor

"Facebook akışınızda sevimli bir kedicik videosunu izlediğinizi ve 'beğendiğinizi' ve bir gün sonra bir arkadaşınızın onu neden 'beğendiğinizi' öğrenmek için aradığını hayal edin. Bir IŞİD infazının videosu" diyor BGU Yazılım ve Bilgi Sistemleri Mühendisliği Bölümü'nden araştırmacı Dr. Rami Puzis. "Tekrar giriş yaptığınızda orada gerçekten bir 'beğeni' olduğunu görüyorsunuz. Asla yapmayacağınız bir şeyi beğenerek destek göstermenin yansımaları (Biden vs.) Trump, Yankees vs. Red Sox, IŞİD vs. ABD) işverenlerden, arkadaşlardan, aileden veya hükümet yetkililerinin bu sosyal medya dolandırıcılığından habersiz olması, birkaç dakika içinde ortalığı kasıp kavurabilir."

İlk akla dolandırıcılık geliyor, ancak propagandanın, sahte haberlerin ve trol çiftçiliğin sosyal ağlarda yaygınlaştığı bir dünyada, Rusya'nın sosyal medyaya müdahale ettiği iddiası önceki ABD seçimleri Bunun en iyi örneği, fiziksel ve dijital kimliklerimiz arasındaki yakın bağların yanı sıra, bu tasarım zayıflıklarının kullanıcılar açısından ciddi sonuçlar doğurabilmesidir.

CNET: NordVPN incelemesi: Güvenlik ve hız açısından hâlâ en iyi değer

Varsayımsal bir saldırı senaryosunda araştırmacılar, bir hedefin seçilebileceğini ve sosyal ağ üzerinden keşif yapılabileceğini söylüyor. Daha sonra, farkında olmayan bir mağdur veya grup üzerinde "güven inşa etmek" için kabul edilebilir gönderiler ve bağlantılar oluşturulabilir. geçiş, hedefin görüntülenebilir beğenilerini ve yorumlarını diğerleriyle ilişkili olacak şekilde hızla değiştiren bir Bukalemun saldırısı aracılığıyla yapılır. içerik.

Puzis, "Her şeyden önce, sosyal ağ Bukalemunları utandırmak veya suçlamak için kullanılabilir, ayrıca sosyal ağlarda sahte profillerin oluşturulmasını ve yönetilmesini kolaylaştırmak için de kullanılabilir" diyor. "Bunlar aynı zamanda gizlenmiş bir gönderinin bir moderatör tarafından onaylandıktan sonra gerçek yüzünü ortaya çıkardığı sansür ve izlemeden kaçınmak için de kullanılabilir."

Ekiple iletişime geçtiğinde Facebook, sorunu bir kimlik avı saldırısı olarak etiketleyerek tüm endişeleri reddetti ve bu nedenle "bu tür sorunlar, hata ödül programımıza dahil değildir."

LinkedIn ekibi bir soruşturma başlattı.

Bununla birlikte, hem Facebook hem de LinkedIn, içerik yayından sonra düzenlenirken bir simge ayarlandığından kısmi bir hafifletme söz konusudur.

TechRepublic: Bebek patlaması kuşağı güvende kalmak için neden Nesnelerin İnterneti'ne ve analitiklere yöneliyor?

Twitter, davranışın geçmişte mikroblog platformuna bildirildiğini belirterek, "İdeal olmasa da şu anda bunu yapmıyoruz" dedi. Bunun herhangi bir tür URL'yi tweetleme yeteneğinden daha fazla risk teşkil ettiğine inanıyorum çünkü herhangi bir web sayfasının içeriği de değiştirilemez. uyarı."

WhatsApp ve Instagram bu saldırılara genel olarak duyarlı değilken Reddit ve Flickr bu saldırılara açık olabilir.

Puzis, "Günümüzde sosyal medyada insanlar saniyeler içinde karar veriyor, dolayısıyla bu, özellikle yaklaşan ABD seçimleri öncesinde çözülmesi gereken bir konu" diyor.

Araştırma Nisan ayında Tayvan'ın Taipei kentindeki Web Konferansı'nda sunulacak.

2019'un en kötü 10 hack'i ve veri ihlali (resimlerle)

Önceki ve ilgili kapsam

  • JhoneRAT, Orta Doğu ülkelerine saldırmak için bulut hizmetlerinden yararlanıyor
  • WordPress eklentisi güvenlik açığı, web sitesinin tamamen ele geçirilmesi için kullanılabilir
  • AB kamusal alanlarda yüz tanıma teknolojisini yasaklamayı düşünüyor

Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0