Websense, una società che si occupa di sicurezza informatica, ha monitorato una falla su twitter.com: appena l’utente passa con il mouse sopra alcuni tweet creati apposta, vengono aperte automaticamente alcune finestre pop-up. La debolezza può causare anche un aggiornamento involontario degli status quando il mouse scorre sopra il tweet e quindi modificare la visualizzazione dello stato all’interno delle pagine del profilo Twitter.
I tweet interessati contengono JavaScript che attivano l’evento OnMouseOver (questo evento permette al codice specificato nel tweet di attivarsi senza chiedere all’utente di cliccare).
I Security Labs di Websense hanno avuto la prova che il comando Twitter è stato pubblicato dagli utenti e poi hanno notato che gli utenti ‘twittavano’ il codice virale. Gli autori del malware hanno avuto così la possibilità di sfruttare la falla per inviare tweet malevoli direttamente agli utenti attraverso altri siti Web.
Ogni secondo vengono pubblicati centinaia di nuovi tweet sul sito utilizzando la falla OnMouseOver. Pare che gli account Twitter infettati dalla falla appartengono anche a giornalisti e personaggi famosi. Websense consiglia di utilizzare applicazione alternative al sito Web twitter.com se è necessario aggiornare il proprio status.
[A cura di Mauro Notarianni]
