Forscher machen Wormy Twitter Attacke

Computersicherheitsforscher haben sich ausgedacht eine neue Twitter-Attacke, die sich viral ausbreiten könnte, ähnlich wie ein Wurm auf dem Microblogging-Dienst.

Der Angriff, der am Donnerstag von Forschern bei Secure Science online gestellt wurde, ist ein harmloser Beweis des Konzepts, der Benutzer dazu zwingt, eine vorgegebene Twitter-Nachricht auszusenden, aber es könnte in einen sehr gemeinen Wurm umgewidmet werden, sagte Lance James, Chefwissenschaftler bei Secure Science.

"Sie können einen Angriff mit unserem Code verbinden und er würde Twitter einfach aus den Fugen reißen", sagte er

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Hack ähnelt einem Clickjacking-Angriff, der letzten Monat auf Twitter die Runde machte. Dort nutzten Hacker eine hinterhältige Technik, um Benutzer dazu zu bringen, auf einen Link zu klicken, ohne es zu merken. Dieser Link würde die Twitter-Nachricht "Do not click" zusammen mit einer URL posten.

Dieses Mal fanden die Forscher von Secure Science einen Weg, um einen Web-Programmierfehler auf der Twitter-Support-Website zu nutzen, um die unerwünschte Nachricht zu posten. Nach einer Warnmeldung sendet der Testcode von Secure Science die Nachricht: "@XSSExploits, die ich gerade besaß!" zum Profil des Opfers.

Ein böswilliger Benutzer könnte viel schlechter mit diesem Programmfehler jedoch tun, sagte James. Der Angriff könnte so geändert werden, dass es keinen Warnbildschirm gibt, und es könnte mit einer sensationellen Nachricht aufgepeppt werden, dass Nutzer eher klicken würden. Wenn es mit bösartigem Browser-Angriffscode kombiniert würde, könnte es verwendet werden, um die Kontrolle über die Maschinen der Opfer zu übernehmen, sagte James.

"Ich halte den Atem an und hoffe, dass niemand in diesem Moment etwas Dummes tut", sagte er

Twitter könnte den Angriff durch die Behebung des Cross-Site-Scripting-Fehlers deaktivieren, den die Secure Science-Forscher ausnutzen, aber wenn ein anderer ähnlicher Bug auf der Site erscheinen würde, würden die Benutzer wieder mit dem gleichen Problem konfrontiert.

Das Problem wird noch dadurch verschlimmert, dass Twitterer aufgrund der 140 Zeichen von Twitter verkürzte Weblinks wie Tinyurl.com verwenden und oft keine Ahnung haben, ob sie auf einen vertrauenswürdigen Weblink klicken oder nicht, sagte James.

Twitter Sicherheitspraktiken standen in letzter Zeit im Rampenlicht, da der Dienst an Popularität gewonnen hat. Im Januar führte das Unternehmen eine umfassende Sicherheitsüberprüfung durch, nachdem Hacker Zugriff auf die Konten von Barack Obama, Fox News und CNN erhalten hatten.

James sagte, er hoffe, dass seine Demonstration Twitter dazu bringen wird, Sicherheit zu einer Priorität zu machen

"Wir wollen Twitter keinen Schaden zufügen", sagte er.