Archives For Twitter App

Stamattina mi trovavo in giro per Milano per un paio di appuntamenti. Ho ingannato l’attesa dando un’occhiata a Twitter, e ho fatto caso ad alcuni strani movimenti decisamente poco avvezzi all’essere autorizzati dai relativi proprietari, si trattava di stati clonati tra di loro, tutti più o meno pubblicati in una stessa fascia oraria, un evidente attacco a tappeto. Si è trattato di un vero e proprio sfacelo, di quelli che da qualche tempo non se ne vedevano più, pare che colpa sia stata di un’applicazione di terza parte con autorizzazioni di lettura e scrittura sugli account Twitter dei suoi utilizzatori.

Di Twitter, Turchia e accessi indesiderati

Ho visto per primi i tweet di Paolo Attivissimo, che è solito ricevere, verificare e rilanciare materiale solo se non si tratta di bufale (che in realtà combatte da sempre e stronca sul nascere). Uno, poi un altro, poi altri ancora e così via, sembra che account non collegati tra di loro abbiano pubblicato stati pro-Erdoğan (il presidente turco):

Il tweet contiene una svastica, alcuni hashtag che si riferiscono al nazismo, un video celebrativo del presidente turco Recep Tayyip Erdoğan e varie scritte fra cui “ci vediamo il 16 aprile”. È la data del referendum costituzionale in Turchia che deciderà se rafforzare i poteri del presidente, una riforma promossa e sponsorizzata dallo stesso Erdoğan. I riferimenti al nazismo e ai Paesi Bassi si legano probabilmente ai diversi litigi diplomatici che Erdoğan ha avuto con alcuni leader europei la scorsa settimana, dopo che in diversi paesi ai membri del governo turco è stato impedito di tenere comizi politici in vista del referendum (probabilmente perché non vogliono legittimare un governo autoritario e ultra-nazionalista come quello di Erdoğan).

vedi: ilpost.it/2017/03/15/attacco-hacker-twitter-turchia

I tweet si susseguono, l’attacco dilaga e gli account violati aumentano, basta dare un’occhiata a questo piccolo elenco di tweet, che in realtà sono poi diventati ancora di più, ma non posso certo star lì a recuperarli tutti ;-) (ci vuole ben poco in realtà):

Impossibile fare diversamente, Paolo cala l’asso e consiglia caldamente l’utilizzo della 2FA (l’autenticazione a due fattori, per la quale combatto e scrivo da sempre):

Twitter aveva attivato l’autenticazione a due fattori tramite SMS già nella prima metà del 2013, evolutasi e passata ad autenticazione (sempre a due fattori) tramite la sua stessa applicazione pochi mesi dopo. Dal 2013 le cose sono ulteriormente cambiate e ci sono stati altri miglioramenti. Ora è possibile anche generare codici temporanei utilizzando applicazioni di terze parti come Google Authenticator o Authy. Non hai quindi più scuse per perdere tempo, attivala subito.

È solo dopo un’ora circa dai primi attacchi (orario italiano) che si scopre che il problema non è Twitter, né tanto meno una password troppo debole degli utilizzatori colpiti. Il cavallo di Troia si chiama TwitterCounter, un servizio (a ora che sto scrivendo l’articolo è down per manutenzione) che permette di rilevare diverse statistiche riguardo il proprio utente Twitter. Per utilizzarlo è necessario autenticarsi tramite il proprio user Twitter (sfruttando le API) e dargli accesso in lettura e scrittura. La seconda ACL è quella che ha causato il danno più visibile, evidentemente.

Paolo ha raccolto diverse informazioni e le ha messe a disposizione di tutti nell’articolo che potrai leggere all’indirizzo attivissimo.blogspot.it/2017/03/violazioni-di-massa-di-account-twitter.html.

Da lì a poco anche Matteo è entrato in gioco e ha fornito dettagliate statistiche che mostrano l’evoluzione dell’attacco e gli account colpiti, con relativi rimbalzi, visualizzazioni e chi più ne ha più ne metta. Trovi tutto il materiale all’indirizzo matteoflora.com/a-social-media-analysis-of-the-turkish-%E5%8D%90-nazialmanya-attack-294ff653085c#.mxnysyvy7.

Nel frattempo, anche Gizmodo ha raccolto ulteriori informazioni e le ha inserite all’interno del loro articolo riepilogativo (gizmodo.com/twitter-accounts-hacked-with-swastikas-through-third-pa-1793286451). I passaggi più importanti sono quelli relativi alle affermazioni di Twitter e del servizio di terza parte TwitterCounter, che riporto:

Update, 5:36am: Twitter just sent us this statement:

We are aware of an issue affecting a number of account holders this morning. Our teams are working at pace and taking direct action on this issue. We quickly located the source which was limited to a third party app. We removed its permissions immediately. No additional accounts are impacted. Advice on keeping your account secure can be found here.

vedi: support.twitter.com/articles/76036 (consigli di sicurezza che tutto sommato riportano quanto già detto da me, da Paolo e da molti altri, mille volte)

Da lì a poco, inevitabile il tweet di TwitterCounter:

Ciò vuol dire che, almeno per il momento, nulla si può muovere tramite TwitterCounter, il quale ha anche modificato la sua chiave privata per sfruttare le API di Twitter, così da evitare (si spera) ulteriori attacchi. Se e quando verrà scoperta la falla beh, questo non è ancora dato saperlo (ma salterà sicuramente fuori nelle prossime ore, o almeno tutti ce lo auguriamo).

Occhio a chi hai autorizzato

Il mio consiglio, oltre a quello di andare ad attivare l’autenticazione a due fattori e rimuovere immediatamente l’accesso all’applicazione TwitterCounter (ammesso tu l’abbia mai autorizzata) da twitter.com/settings/applications, è quello di verificare quante altre applicazioni possono accedere al tuo account Twitter, e fare una pulizia di primavera in leggero anticipo, per evitare che chiunque possa sfruttare falle che esulano da Twitter o dalla tua capacità di proteggere l’account con una robusta password e un corretto metodo di verifica.

Se non utilizzi più un’applicazione, se non ne riconosci il nome, se pensi di non averci nulla a che fare, rimuovi il suo accesso. Ricorda che potrai sempre ridarglielo in un secondo momento, senza conseguenze (dovrai semplicemente riautenticarti a Twitter). Fai distinzione tra lettura e scrittura, e prediligi l’eliminazione immediata di chi ha accesso in scrittura al tuo account, guarda la differenza in questa immagine catturata dal mio account:

Di Twitter, Turchia e accessi indesiderati 1

Ricorda solo che, nel caso tu utilizzi iOS o macOS abitualmente (sistemi operativi di casa Apple), revocare i diritti di accesso non è immediatamente banale, devi pensare più in grande e toglierli all’intero sistema, come spiegato nella documentazione ufficiale di Twitter.

Non perdere altro tempo, dai un’occhiata alle tue impostazioni di sicurezza e fai in modo da proteggerti il più possibile da accessi (e utilizzi) indesiderati.

Cheers.

G

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

So che qualcuno di voi se lo sarà chiesto e la risposta è più semplice che mai, sia da browser che da applicazione (a prescindere dal sistema utilizzato a bordo del vostro smartphone o tablet). L’impostazione è sempre la stessa e va ad impattare sull’avvio automatico di video e GIF animate che ultimamente invadono anche Twitter, fino a qualche tempo fa esente dalla non sempre simpatica presenza di questo materiale. Chiariamoci: nulla contro, anzi, semplicemente non è gradevole far partire l’audio di un video (spesso capita) soprattutto quando non desiderato, tipo mentre si è a letto con la compagna già nel mondo dei sogni che si lamenta perché l’avete svegliata (e ha ragione, manco a dirlo).

Twitter: bloccare l'avvio automatico di GIF e filmati (da web & app)

Ecco quindi il da farsi. L’esempio (da tablet) si basa sull’utilizzo di iPad, ma tenete conto del fatto che i passaggi rimangono assolutamente identici anche su iPhone o su qualsiasi telefono basato su Android, d’altronde si parla sempre della stessa applicazione ufficiale.

Da web

Accedete alle impostazioni del vostro profilo (twitter.com/settings/account) e –rimanendo nella vista Account che è la principale subito aperta– andate a rimuovere il segno di spunta dall’opzione “Video autoplay“, io ho l’interfaccia volutamente in inglese ma credo cambi molto poco nella traduzione italiana, dovreste trovare qualcosa come “Riproduzione automatica video“:

Twitter: bloccare l'avvio automatico di GIF e filmati (da web & app) 1

Per poter salvare la modifica occorrerà inserire la vostra password di accesso a Twitter quando richiesto a video. Il gioco è fatto.

Da Smartphone o Tablet

Molto semplice anche in questo caso. Andate nelle Impostazioni del programma e subito sotto “Generali” troverete l’opzione “Autoriproduzione video“. Fate clic sulla voce per selezionarla e portate la vostra scelta su “Non riprodurre mai i video automaticamente“:

Tornate pure indietro nel menu per uscire, l’impostazione verrà salvata in automatico.

Per chi se lo fosse perso e magari fosse interessato a fare la stessa cosa su Facebook, vi ricordo che ho pubblicato un articolo anche per questo specifico caso: gioxx.org/2014/04/06/facebook-bloccare-la-partenza-automatica-dei-video

Avevo già parlato di Twitter e della sua verifica in due passaggi e il colosso di San Francisco non ne era uscito così vincitore, a dirla tutta aveva fatto una magra figura rispetto alle altre società che fino ad oggi hanno scelto di includere questo ulteriore step di sicurezza nella fase di login ai propri servizi.

In conclusione del precedente articolo mi aspettavo anche una soluzione in tempi brevi che potesse accontentare proprio tutti funzionando correttamente anche laddove gli accordi societari con i carrier telefonici non erano arrivati. Con l’ultimo aggiornamento dell’applicazione che risale ad una manciata di giorni fa io (e tanti altri come me) sono stato accontentato!

Prima di cominciare

Ricordatevi che abilitando la verifica in due passaggi il vostro telefono si legherà all’account da proteggere. Nessun altro dispositivo (codice di backup di sicurezza a parte) potrà generare il codice o la richiesta di approvazione login. Se perdete il telefono o se lo dimenticate a casa sarete costretti ad utilizzare il codice di emergenza che verrà generato in fase di attivazione dell’autenticazione 2-step. La verifica in due passaggi  un’ottima soluzione per evitare che il vostro account venga acceduto da gente sconosciuta ma è pur sempre un’arma a doppio taglio che potrebbe chiudervi la porta in faccia, fate sempre molta attenzione ;-)

Ok, facciamolo

Ciò che vi servirà stavolta è il telefono. Aprendo l’applicazione di Twitter basterà andare nella propria scheda profilo e fare clic sull’icona che rappresenta l’ingranaggio per entrare nelle opzioni del programma, quindi selezionare Impostazioni

Profilo Utente Fare clic su Impostazioni

A questo punto bisognerà ovviamente selezionare le impostazioni di sicurezza dell’account desiderato (nella stessa schermata troverete tutti gli altri account gestiti tramite applicazione dell’iOS):

E abilitare la verifica dell’accesso:

Previa vostra conferma il nuovo sistema verrà abilitato e verrà così creato un codice di sicurezza univoco di backup che dovrete utilizzare per ottenere accesso al vostro account nel caso in cui smarriste il telefono o lo dimenticaste a casa (come da paragrafo precedente, nda). Non vi preoccupate: una volta utilizzato potrete crearne altri recuperando il telefono e la vostra applicazione:

Salvate quel codice in luogo sicuro (Keepass tanto per citarne uno che utilizzo quotidianamente e del quale vi ho già spesso parlato) e tornate indietro per avere conferma visiva dell’abilitazione dell’autenticazione in due passaggi:

Il gioco è fatto.

Per poter verificare che tutto funzioni basterà fare logout dal vostro account sul PC quindi provare a ricollegarvi. Se la password è giusta a video (del PC) vedrete una schermata di attesa accettazione login:

mentre sul telefono comparirà una notifica push (se abilitate per Twitter, occhio quindi ad abilitarle o dovrete manualmente aprire l’applicazione e andare a controllare le richieste di accesso!) che vi inviterà ad aprire l’applicazione per verificare la richiesta di un accesso (con tanto di identificazione GPS della posizione anche se parzialmente errata):

A questo punto non vi resta che fare clic sulla “V” e attendere che il browser ricarichi la pagina dandovi finalmente accesso alla vostra pagina Twitter!

Ora potrete nuovamente “twittare” il vostro stato d’animo o qualsiasi altra cosa desideriate :-)

In conclusione

Finalmente ci siamo. Un servizio per ora funzionante, intuitivo, veloce, facile da usare anche per l’utente che non ha mai “capito bene come funzionano queste cose” nonostante la mancanza del classico codice generato da un Authenticator (che personalmente adoro e preferisco, ma tant’è), ricorda per certi versi quell’autenticazione che Google stava testando qualche tempo fa (vedi l’articolo) ma che poi ha immediatamente ritirato. Aumenta (se volessi trovare un “contro”) l’importanza del tenere al sicuro e a portata di mano il proprio telefono in quanto “Single Point of Failure“.

Un altro servizio messo un po’ più al sicuro.

p.s. Se non dovessimo “leggerci più” prima del 15 agosto, buone ferie e buon ferragosto a tutti voi! :-)