Twitter OAuth -ominaisuus voidaan väärinkäyttää kaappaamasta tilejä, tutkija sanoo

Twitter-sovellusliittymän ominaisuus (sovellusohjelmointi käyttöliittymä) hyökkääjät voivat hyö- dyntää uskottavia sosiaalisen tekniikan hyökkäyksiä, jotka antavat heille suuria mahdollisuuksia kaapata käyttäjätilejä, mobiilisovellusten kehittäjä paljastui keskiviikkona Amsterdamin Box-turvallisuuskonferenssin Hackissa.

Asia on tehtävä miten Twitter käyttää OAuth-standardia, jotta kolmannen osapuolen sovellukset, kuten pöytätietokoneet tai mobiilit Twitter-asiakkaat, voidaan valtuuttaa toimimaan vuorovaikutuksessa käyttäjien käyttäjien kanssa API: n kautta, Nicolas Seriot ile-sovellusten kehittäjä ja projektipäällikkö Swissquote Bankissa Sveitsissä, sanoi torstaina.

Twitter mahdollistaa sovellusten määrittelemän mukautetun soittopyynnön URL-osoitteen, jossa käyttäjät ohjataan sen jälkeen, kun kyseiset sovellukset ovat myöntäneet tilinsa tileille valtuutussivun kautta Twitterissä. > [Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Seriot löysi keinon luoda erityisiä linkkejä, jotka napsauttavat käyttäjiä avaavat Twitter-sovellusten käyttöoikeussivuja suosituille asiakkaille, kuten TweetDeckille. Nämä pyynnöt määrittävät kuitenkin hyökkääjän palvelimen takaisinsoittaus-URL-osoitteina, mikä pakottaa käyttäjien selaimet lähettämään Twitter-käyttöoikeuskoodit hyökkääjälle.

Access token -toiminnon avulla voidaan suorittaa toimia vastaavan tilin avulla Twitter-sovellusliittymän kautta ilman, että salasana. Hyökkääjä voi käyttää tällaisia ​​rahakkeita lähettämään uusia tweettejä vaarantuneiden käyttäjien puolesta, lukea heidän yksityisiä viestejään, muokata heidän tweeteissään näytettyä sijaintia ja paljon muuta.

Esitys käsitteli olennaisesti tietoturvaominaisuuksien sallitun sallitun soittopyynnön sallimisen ja kuvauksen tämä käytäntö käyttää masquerade oikeiksi ja luotettaviksi Twitter-asiakkaiksi, jotta varastetaan käyttäjän käyttöoikeuskoodit ja kaappaavat tilit, Seriot sanoi.

Hyökkääjä voi lähettää sähköpostin tällaisella muotoillulla linkillä tärkeän yrityksen sosiaalisen median johtajalle tai uutisorganisaatio, joka esimerkiksi viittaa siihen, että se on linkki seuraamaan joku Twitterissä.

Kun napsautat linkkiä, kohde näkee SSL-suojatun Twitter-sivun, jossa hän pyytää lupaa jakaa TweetDeck, Twitter iOS: lle tai jonkin muun suosittu Twitter-asiakas, päästäkseen hänen tiliinsä. Jos kohde käyttää jo käyttämättömiä asiakkaita, hän voi uskoa, että aiemmin myönnetty valtuutus on vanhentunut ja heidän on annettava lisenssi uudelleen.

"Hyväksy" -painikkeen napsautus pakottaisi käyttäjän selaimen lähettämään käyttöoikeuskoodin hyökkääjän palvelin, joka ohjata käyttäjän takaisin Twitter-sivustolle. Käyttäjä ei näe merkkejä siitä, että jotain pahaa tapahtuu, Seriot sanoi.

Hyökkääjän on ensin tunnettava Twitter API -koodit, jotta hän voisi suorittaa tällaisen hyökkäyksen ja tehdä erityisiä linkkejä. haluaa esiintyä. Nämä ovat yleensä kovakoodattuja sovelluksissa ja ne voidaan purkaa monin tavoin, Seriot sanoi.

Kehittäjä rakensi avoimen lähdekoodin OAuth-kirjaston Mac OS X: lle, jota voidaan käyttää vuorovaikutuksessa Twitter-sovellusliittymän kanssa ja luoda valtuutusyhteyksiä rogue callback-URL-osoitteita. Kirjasto, joka on nimeltään STTwitter, on rakennettu laillisiin tarkoituksiin, ja se on tarkoitettu lisäämään Twitterin tukea Adiumille, joka on suosittu moniprotokollahjekeskusteluohjelma Mac OS X: lle.

Seriotin mukaan Twitter voisi estää tällaiset hyökkäykset poistaa soittotoiminnon OAuth-toteutuksesta. Hän ei kuitenkaan usko, että yritys tekee tämän, koska se on teknisesti oikeutettu piirre, jota jotkut asiakkaat käyttävät.

Twitter ei vastannut välittömästi torstaihin lähetettyyn pyyntöön.