Twitter OAuth-Funktion kann missbraucht werden, um Konten zu entführen, Forscher sagt

Ein Feature in der Twitter-API (Anwendungsprogrammierung) (Schnittstelle) kann von Angreifern missbraucht werden, um glaubwürdige Social-Engineering-Angriffe zu starten, die ihnen eine hohe Chance geben, Benutzerkonten zu entführen, gab ein Entwickler von mobilen Anwendungen am Mittwoch bei der Hack-in-Box-Sicherheitskonferenz in Amsterdam bekannt.

Das Problem muss reichen wie Twitter den OAuth-Standard verwendet, um Apps von Drittanbietern, einschließlich Desktop- oder mobiler Twitter-Clients, zu autorisieren, um über seine API mit Nicolas Seriot, einem Mob, mit Benutzerkonten zu interagieren ie Applikationsentwickler und Projektmanager bei Swissquote Bank in der Schweiz, sagte Donnerstag.

Twitter erlaubt Apps, eine benutzerdefinierte Rückruf-URL anzugeben, an die Benutzer weitergeleitet werden, nachdem sie diesen Apps über eine Autorisierungsseite auf Twitter Zugriff auf ihre Konten gewährt haben.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Seriot hat eine Möglichkeit gefunden, spezielle Links zu erstellen, die, wenn sie von Benutzern angeklickt werden, Twitter-App-Autorisierungsseiten für beliebte Kunden wie TweetDeck öffnen. Diese Anfragen würden jedoch den Server des Angreifers als Callback-URLs angeben und die Browser der Benutzer dazu zwingen, ihre Twitter-Zugriffstoken an den Angreifer zu senden.

Das Zugriffstoken ermöglicht die Ausführung von Aktionen mit dem zugehörigen Konto über die Twitter-API ein Passwort. Ein Angreifer könnte solche Token verwenden, um neue Tweets für die kompromittierten Benutzer zu posten, ihre privaten Nachrichten zu lesen, den in ihren Tweets angezeigten Ort usw. zu ändern.

Die Präsentation behandelt im Wesentlichen die Sicherheitsimplikationen beim Zulassen benutzerdefinierter Callbacks Diese Methode nutze diese Funktion, um sich als legitime und vertrauenswürdige Twitter-Clients auszugeben, um Benutzerzugriffstoken und Hijack-Accounts zu stehlen.

Ein Angreifer könnte eine E-Mail mit einem so gestalteten Link an den Social-Media-Manager einer wichtigen Firma senden oder eine Nachrichtenorganisation, die zum Beispiel vorschlägt, dass es sich um einen Link handelt, um jemandem auf Twitter zu folgen.

Beim Klicken auf den Link würde das Ziel eine SSL-geschützte Twitter-Seite sehen, die ihn bittet TweetDeck, Twitter für iOS oder andere zu autorisieren beliebter Twitter-Client, um auf sein Konto zuzugreifen. Wenn das Ziel bereits den imitierten Client verwendet, könnte er glauben, dass die zuvor erteilte Berechtigung abgelaufen ist und sie die App erneut autorisieren müssen.

Durch Klicken auf die Schaltfläche "Autorisieren" wird der Browser des Benutzers gezwungen, das Zugriffstoken an zu senden der Server des Angreifers, der dann den Benutzer zurück auf die Twitter-Website umleiten würde. Der Benutzer würde nichts Böses sehen, sagte Seriot.

Um einen solchen Angriff durchzuführen und die speziellen Links zu erstellen, müsste der Angreifer die Twitter-API-Tokens für die Anwendungen kennen, die er verwendet möchte sich als jemand ausgeben. Diese sind im Allgemeinen in den Anwendungen fest codiert und können auf verschiedene Arten extrahiert werden, sagte Seriot.

Der Entwickler erstellte eine Open-Source-OAuth-Bibliothek für Mac OS X, mit der er mit der Twitter-API interagieren und Autorisierungslinks generieren kann Rogue-Rückruf-URLs. Allerdings wurde die Bibliothek, die STTwitter genannt wird, für legitime Zwecke gebaut und soll Twitter Adium, einen beliebten Multi-Protokoll-Chat-Client für Mac OS X, hinzufügen.

Laut Twitter könnte Twitter solche Angriffe verhindern Deaktivieren der Rückruffunktionalität aus der OAuth-Implementierung Er glaubt jedoch nicht, dass das Unternehmen dies tun wird, weil es technisch gesehen ein legitimes Feature ist, das von einigen Kunden verwendet wird.

Twitter hat nicht sofort auf eine Anfrage nach einem Kommentar reagiert, der am Donnerstag gesendet wurde.