Tweetdeck: vulnerabilidade cria worm na internet

No dia 11/06 uma vulnerabilidade do Tweetdeck, aplicativo web do Twitter, foi divulgada da maneira mais direta possível: explorando-a na internet. A vulnerabilidade em questão é do tipo Stored XSS (Cross Site Scripting), que envolve introduzir javascript em uma página da web que será armazenado no servidor e executado pelo browser do cliente.

Como o Tweetdeck fica automaticamente atualizando o feed quando aberto, uma vez que você receba o tweet com o script no seu feed, ele será automaticamente executado. O tweet em questão é este abaixo:

O tweet viral. Repare no número de retweets.

O tweet abre uma janela de alerta e força o retweet automático, fazendo com que os seus seguidores que também usam o Tweetdeck continuem a espalhar. É um worm com uma só linha de código. Nenhuma intervenção do usuário é necessária, basta estar com o Tweetdeck aberto. Nem a Leverage escapou, pois recebemos o tweet via a conta de Twitter oficial da Microsoft (@microsoft), entre outras.

O Twitter já corrigiu o Tweetdeck, mas é necessário que os usuários fechem o aplicativo e abram de novo para se assegurar que estejam

O incidente reforça o quão perigosos podem ser os ataques via XSS, que ainda é uma das vulnerabilidades mais frequentemente encontradas.

Aproveite para saber mais sobre ataques contra aplicações via este webinar.