觀點

社交網站Twitter蠕蟲 互動式元件為幫兇

2009 / 04 / 27
何依玟
社交網站Twitter蠕蟲 互動式元件為幫兇
Twitter是一個免費的社交網站,提供微型部落格服務,使用者可以在上面發表及接收簡短訊息。繼之前MySpace的Samy蠕蟲攻擊事件後,最近又傳出社交網站Twitter遭受Net-Worm.JS.Twettir蠕蟲肆虐,利用Twitter的漏洞,讓網站允許執行跨網站指令碼(XSS),並且修改用戶的帳號。當用戶瀏覽被修改過的Twitter網頁,或是當他們點選朋友的「tweets」連結後,隨即遭受感染。根據Twitter的管理者表示,網站上的所有漏洞都已修補,並且沒有任何的證據顯示,用戶因為此次攻擊,而導致身份證件、密碼、電話號碼及其他敏感資料遭到竊取。

卡巴斯基實驗室全球研究分析小組資深防毒研究Roel Schouwenberg表示,新蠕蟲並不具備先進的功能,不會竊取個人資料,不算是一個真正的威脅。另外,他認為導致惡意程式廣為散播的原因在於,它隱身在最普遍和常見的互動式元件中-「按鍵(button)」和「連結」。Schouwenberg指出,「為了防範新的跨網站指令碼蠕蟲,某些網站已經建立對應的防護措施來保護用戶。但是,這些網站要求用戶以點擊「連結」的方式來進行,並要求他們的朋友也這樣做。換句話說,他們使用與惡意程式相同的手法。」

阿碼科技執行長黃耀文在部落格指出,此次攻擊Twitter的Mikeyy蠕蟲之所以衍生6代變形,足以顯示XSS漏洞難以全面防範,建議開發者應避免使用黑名單而改採白名單方式,才能有效杜絕XSS攻擊。