Twitter用了三个月才修复了短信欺骗漏洞

来源:岁月联盟 编辑:exp 时间:2012-12-06
Twitter 宣布他们修补了一个短信欺骗漏洞,这个漏洞是由安全顾问 Jonathan Rudenberg 发现的,据悉,Facebook 其他一些厂商也同样受此漏洞影响,并均已修复此漏洞。

在 Twitter 的这个漏洞被修补之前,对于部分开启了短信发送功能并没有进行PIN 密码保护的用户,实际上并不会被要求强制经过任何形式的认证就可以发送短信,对于这些用户,任何知道其手机号码的人都能用该用户的身份使用短信发送发出短信。

Jonathan Rudenberg 在博文中对该漏洞进行了详细解释,利用该漏洞,攻击者可以相关用户的身份往 Twitter 发送消息。实际上,直到该漏洞被修复,Twitter 的全套操作指令都可以通过伪造的身份进行发送。据悉只有对于那些不支持 PIN 密码的地区,由于没有开启短信发送功能,不会受到此漏洞的影响。

Rudenberg 证实Twitter 已经表示该漏洞在当地时间12月4号已经得到修复,但 Rudenberg 同时指出,Facebook 和 Venmo(社交支付服务商) 同样存在相同漏洞,但尽管他早在8月中就在社交网络中披露了这一漏洞,但三家公司还是在漏洞暴露后过了近三个月时间才采取行动。