A Twitter OAuth-szolgáltatással visszaélhetnek a számlák átvétele, a kutató szerint

A Twitter API (alkalmazásprogramozás interfész) a támadókkal visszaélhetnek hiteles szociális tervezési támadások elindításával, amelyek nagy eséllyel terhelhetik a felhasználói fiókokat, egy mobilalkalmazás-fejlesztő kiderült, szerdán az Amszterdami Box-biztonsági konferencia Hack-jában.

hogy a Twitter az OAuth-szabványt használja a harmadik féltől származó alkalmazások - köztük az asztali vagy mobil Twitter ügyfelek - engedélyezéséhez, a felhasználói fiókok közötti interakcióhoz API-ján keresztül, Nicolas Seriot, a mob a svájci Swissquote Bank, az ile alkalmazások fejlesztője és projektmenedzsere, mondta csütörtök.

A Twitter lehetővé teszi az alkalmazások számára, hogy egyedi visszahívási URL-t adjanak meg, ahol a felhasználók átirányításra kerülnek, miután az alkalmazások hozzáférést kaptak számlájukhoz egy engedélyezési lapon keresztül a Twitter webhelyén. > [További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

A Seriot megtapasztalta a speciális hivatkozásokat, amelyek a felhasználó által kattintva megnyitják a Twitter alkalmazást engedélyező oldalait olyan népszerű kliensek számára, mint a TweetDeck. Azonban ezek a kérelmek megadják a támadó szerverét visszahívási URL-ként, és arra kényszerítik a felhasználók böngészőit, hogy küldjék el a Twitter hozzáférési tokenjeiket a támadónak.

A hozzáférési token lehetővé teszi a kapcsolódó API-kkal való műveletek végrehajtását a Twitter API-n keresztül egy jelszó. A támadók ilyen zálogokat használhatnak az új felhasználók számára a veszélyeztetett felhasználók nevében, privát üzenetek elolvasása, a tweetekben megjelenített helyek módosítása stb.

A bemutatás lényegében az egyedi visszahívások engedélyezésének biztonsági vonatkozásait és a hogy ezt a funkciót legitim és megbízható Twitter-ügyfelekként használják fel, hogy ellopják a felhasználói hozzáférési zsetonokat és eltérítsék a fiókokat. "

A támadó e-mailt küldhet egy olyan, erre a célra kialakított linkre egy fontos cég szociális média menedzsere számára vagy hírszervezet, amely azt sugallja például, hogy ez egy link, amely követni fogja a valakit a Twitteren.

A linkre kattintva a cél egy SSL-védett Twitter oldalt látna, amelyben felkérte őt, hogy engedélyezze a TweetDeckot, a Twitteret iOS-nak vagy más népszerű Twitter kliens, hogy hozzáférjen a fiókjához. Ha a cél már használta a megszemélyesített klienst, feltételezheti, hogy a korábban megadott engedély lejárt, és újra kell engedélyeznie az alkalmazást.

A "felhatalmazás" gombra kattintva kényszerítené a felhasználó böngészőjét a hozzáférési token elküldésére a támadó szervere, amely átirányítja a felhasználót a Twitter weboldalára. A felhasználó nem látna semmi jelet valami rossz eseményről, mondta Seriot.

Annak érdekében, hogy ilyen támadást hajtson végre és először a speciális linkeket hajtson végre, a támadónak ismernie kell a Twitter API tokeneket a Szeretne megszemélyesíteni. Ezek általában alkalmazkodnak az alkalmazásokhoz, és számos módon kiválaszthatók, mondta Seriot.

A fejlesztő egy nyílt forrású OAuth könyvtárat épített fel a Mac OS X rendszerhez, amely használható a Twitter API-val való kapcsolattartáshoz és hitelesítési kapcsolatok létrehozásához gazember visszahívási URL-ek. A könyvtár, amelyet STTwitternek neveznek, jogszerű célokra készült, és hozzá kíván járulni a Twitter támogatásához az Adiumhoz, amely egy népszerű multi-protokoll chat-ügyfél Mac OS X-hez.

A Seriot szerint a Twitter megakadályozhatja az ilyen támadásokat a visszahívási funkció kikapcsolása az OAuth implementációjából. Azonban nem hiszi, hogy a vállalat ezt fogja tennie, mert ez technikailag egy legitim funkció, amelyet bizonyos ügyfelek használnak.

A Twitter nem válaszolt azonnal a csevegésre küldött kérelemre.