推特X平台爆漏洞「用戶點連結、帳號就被盜」，官方緊急修復

今（13）日推特網友爆出，X 平台上有漏洞，可能遭 XSS 攻擊，當用戶點擊網址連結駭客就能夠使用你的 X 帳號，可以使用發文、轉推、點讚、封鎖等功能，但不能更改用戶密碼。而此 Bug 據網友透露似乎持續一陣子了。（前情提要：馬斯克預告：推特支付「X Pay」2024上路！已獲美國 12 州貨幣服務商牌照）
（背景補充：推特整合AI！馬斯克 : X 將與 Grok 集成 AI 按鈕！下週開放 X Premium + 訂閱用戶使用）

一名柏克萊加州大學博士生在 X 平台發布了一則文章提醒目前 X 上有些未被修補的漏洞。並標記 X 老闆 Elon Musk 及 X 的官方帳號來解決此漏洞。而另一位 Paradigm 的研究員 samczsun 則說明此漏洞，讓駭客可以從用戶點擊的連結對用戶的帳號進行操作。

I built a nuclear-weapon-level Twitter/X exploit based on a few previously unfixed vulnerabilities. It is not eligible for bug bounty so I will disclose it soon. @X @elonmusk

— Chaofan Shou (@shoucccc) December 12, 2023

X 的 Bug 已持續一陣子？

一位 X 帳號為 @rabbit_2333 的網友表示，他曾向 X 官方反應：

我提交了這個錯誤報告，但沒有收到賞金。你告訴我這個 bug 已經存在一年了。看你這麼久都沒有修復，看來這個 bug 並不重要，所以就公開了。

I submitted this bug report and didn't receive a bounty. You told me that this bug has existed for a year. Seeing that you haven't fixed it for so long, it seems that this bug is not important, so I made it public. pic.twitter.com/R9X4k8KqMZ

— rabbit (@rabbit_2333) December 12, 2023

X 存在什麼錯誤？

Paradigm 的研究員 samczsun 說明此次的錯誤是 XSS 攻擊。XSS 攻擊是駭客透過漏洞傳送惡意的 URL 給用戶，當用戶點擊到駭客所設置在 X 上的釣魚連結（URL）後就可以操作該用戶的帳號。而 X 上的漏洞讓駭客可以使用受害者帳號發文、轉推、按讚、封鎖等，但不能更改密碼。

而他告訴用戶：

在問題修復前，先安裝 uBlock Origin 來保護自己。

他也提醒手機用戶，如果使用手機瀏覽 X 很可能會受到攻擊，如果是純粹的手機應用程式用戶，他建議暫時不要使用 X 幾天。

If you're using Twitter on your phone in your browser, you're vulnerable because you can't install extensions, so just log out and use the app instead (or if you're an app purist, just live without Twitter for a few days)

— samczsun (@samczsun) December 13, 2023

最新消息，至截稿前，samczsun 在 X 平台發文：

該錯誤已修復！再次感謝 @shoucccc 的發現並感謝 @rabbit_2333 的發現

技術總結：

在 Twitter 的子域名中存在一個反射型 XSS 漏洞，藉由繞過 CORS 和 CSP，繞過允許用本地身份驗證的使用者身份請求，再向 Twitter API 發出請求。

✅✅✅

The bug has been fixed! Thanks again to @shoucccc for surfacing and credit to @rabbit_2333 for discovering

Technical Summary:
Reflected XSS in Twitter subdomain and CORS/CSP bypass allows for arbitrary requests to the Twitter API as locally authenticated user

— samczsun (@samczsun) December 13, 2023