¿Realmente te gustó eso? Cómo caen los ataques de Chameleon en Fb, Twitter, LinkedIn


¿Qué han estado haciendo los hackers APT20? Sin pasar por 2FA
El grupo APT20, patrocinado por el estado chino, ha estado ocupado pirateando entidades gubernamentales y proveedores de servicios administrados.

Las redes sociales están llenas hasta el borde con nuestras fotos, publicaciones, comentarios y me gusta, estos últimos pueden ser abusados ​​por los atacantes con fines de incriminación.

Académicos de la publicación académica han publicado un nuevo artículo titulado «El ataque del camaleón: manipulación de la visualización de contenido en las redes sociales en línea». Universidad Ben-Gurion del Negev (BGU), Israel, que sugiere fallas inherentes en las redes sociales podría dar lugar a una forma de ataque «Camaleón».

El equipo, compuesto por Aviad Elyashar, Sagi Uziel, Abigail Paradise y Rami Puzis de los Laboratorios de Innovación Telekom y el Departamento de Ingeniería de Software program y Sistemas de Información, dice que las debilidades en cómo se utilizan los sistemas de publicación en Fb, Twitter y LinkedIn, así como otras plataformas de redes sociales pueden ser explotadas para alterar la actividad del usuario de una manera que podría ser «completamente diferente, perjudicial y potencialmente felony».

Según la investigación, publicado en arXiv.org, un defecto de diseño interesante, en lugar de una vulnerabilidad de seguridad, debe tenerse en cuenta, significa que el contenido, incluidas las publicaciones, puede editarse y cambiarse sin que los usuarios que les hayan gustado o comentado estén al tanto de cualquier cambio.

El contenido que contiene enlaces de redireccionamiento, también, acortado para fines de gestión de marca y para tener en cuenta las restricciones de conteo de palabras, puede ser prone y cambiarse sin previo aviso.

Durante experimentos, los investigadores utilizaron el método Chameleon para cambiar videos publicados en Fb. Los comentarios y los recuentos similares se mantuvieron igual, pero no hay indicios de modificaciones disponibles para cualquier persona que haya interactuado previamente con el contenido.

(incrustar) https://www.youtube.com/view?v=mIalJrB58eI (/ incrustar)

Ver también: P&N Bank revela violación de datos, información de la cuenta del cliente, saldos expuestos

«Imagínese viendo y &#39gustando&#39 un lindo video clip de gatito en su feed de Facebook y un día después un amigo llama para averiguar por qué le gustó &#39un online video de una ejecución de ISIS», dice el Dr. Rami Puzis, investigador en el Departamento de BGU de Ingeniería de Program y Sistemas de Información. «Vuelves a iniciar sesión y descubres que, de hecho, hay un» me gusta «allí. Las repercusiones de indicar apoyo al gustar algo que nunca harías (Biden vs. Trump, Yankees vs. Pink Sox, ISIS vs. EE. UU.) De empleadores, amigos, la familia o el gobierno que desconoce esta estafa en las redes sociales puede causar estragos en solo minutos «.

Las estafas vienen a mi mente primero, pero en un mundo donde la propaganda, las noticias falsas y la cría de trolls se extienden a través de las redes sociales (la supuesta interferencia de Rusia en las elecciones estadounidenses anteriores es un excelente ejemplo), así como los estrechos lazos entre nuestros identidades físicas y digitales, estas debilidades de diseño pueden tener serias ramificaciones para los usuarios.

CNET: Revisión de NordVPN: sigue siendo el mejor valor para la seguridad y la velocidad

En un escenario de ataque hipotético, los investigadores dicen que se podría seleccionar un objetivo y realizar un reconocimiento a través de una crimson social. Las publicaciones y los enlaces aceptables podrían crearse para «generar confianza» con una víctima o grupo inconsciente antes de que el cambio se realice a través de un ataque Chameleon, alterando rápidamente los me gusta visibles y los comentarios del objetivo para relacionarlos con otro contenido.

«En primer lugar, los camaleones de redes sociales se pueden utilizar para avergonzar o incriminar, así como para facilitar la creación y gestión de perfiles falsos en las redes sociales», dice Puzis. «También se pueden usar para evadir la censura y el monitoreo, en los que una publicación encubierta revela su verdadero yo después de ser aprobado por un moderador».

Cuando fue contactado por el equipo, Facebook rechazó cualquier preocupación, calificando el problema como un ataque de phishing y, por lo tanto, «tales problemas no califican bajo nuestro programa de recompensas de errores».

El equipo de LinkedIn ha comenzado una investigación.

Sin embargo, tanto Facebook como LinkedIn tienen una mitigación parcial ya que se establece un ícono cuando el contenido se edita después de la publicación.

TechRepublic: ¿Por qué los infant boomers buscan IoT y análisis para mantenerse a salvo?

Twitter dijo que el comportamiento se informó a la plataforma de microblogging en el pasado, y dijo que «si bien puede no ser ideal, en este momento, no creemos que esto represente un riesgo mayor que la capacidad de tuitear una URL de cualquier tipo desde el contenido de cualquier página world wide web también puede cambiar sin previo aviso «.

WhatsApp e Instagram generalmente no son susceptibles a estos ataques, mientras que Reddit y Flickr pueden serlo.

«En las redes sociales de hoy, las personas emiten juicios en segundos, por lo que este es un problema que debe resolverse, especialmente antes de las próximas elecciones en Estados Unidos», dice Puzis.

La investigación se presentará en abril en The Website Conference en Taipei, Taiwán.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique