Twitter OAuth-funktionen kan misbruges til at kapre konti, siger forsker

En funktion i Twitter-API'en interface) kan misbruges af angribere for at starte troværdige socialtekniske angreb, der ville give dem en stor chance for at kapre brugerkonti, afslørede en mobil applikationsudvikler onsdag på Hack in the Box-sikkerhedskonferencen i Amsterdam.

Problemet skal gøres med, hvordan Twitter bruger OAuth-standarden til at godkende tredjepartsapps, herunder desktop- eller mobile Twitter-klienter, at interagere med brugerkonti via dets API, Nicolas Seriot, en mob Twitter applikation udvikler og projektleder hos Swissquote Bank i Schweiz, sagde torsdag.

Twitter tillader apps at angive en brugerdefineret tilbagekaldelseswebadresse, hvor brugerne omdirigeres efter at have givet disse apps adgang til deres konti via en autorisationsside på Twitters websted.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Seriot fandt en måde at udarbejde særlige links, der når de klikkes af brugere, åbner Twitter app autorisations sider for populære kunder som TweetDeck. Disse anmodninger vil dog angive angriberens server som tilbagekaldelseswebadresser, hvilket tvinger brugeres browsere til at sende deres Twitter-adgangstegn til angriberen.

Adgangstokenet tillader handlinger, der skal udføres med den tilknyttede konto via Twitter-API'et uden behov for et kodeord. En angriber kan bruge sådanne tokens til at sende nye tweets på vegne af de kompromitterede brugere, læse deres private beskeder, ændre placeringen i deres tweets og meget mere.

Præsentationen dækkede hovedsageligt sikkerhedsimplikationerne ved at tillade tilpassede tilbagekaldelser og beskrev en metode til at bruge denne funktion til at maskerere som legitime og betroede Twitter-klienter for at stjæle brugeradgangstokener og kapre konti, sagde seriot.

En angriber kunne sende en email med et sådant udformet link til en socialt ansvarlig for et vigtigt firma eller nyhedsorganisation, der tyder på, at det er et link til at følge nogen på Twitter.

Når du klikker på linket, vil målet se en SSL-beskyttet Twitter-side, der beder ham om at godkende TweetDeck, Twitter til iOS eller en anden populære Twitter-klient for at få adgang til hans konto. Hvis målet allerede bruger den efterligne klient, kan han tro, at den tidligere godkendte tilladelse er udløbet, og de skal genautorisere appen.

Klik på knappen "godkend" vil tvinge brugerens browser til at sende adgangstoken til angriberens server, som derefter omdirigerer brugeren tilbage til Twitter-webstedet. Brugeren ville ikke se noget tegn på noget dårligt, sagde Seriot.

For at kunne udføre et sådant angreb og håndtere de specielle links i første omgang, ville angriberen have brug for at kende Twitter API-tokens til de applikationer han havde ønsker at efterligne. Disse er generelt hardcoded i applikationerne selv og kan udvindes på flere måder, siger Seriot.

Udvikleren har opbygget et open source OAuth-bibliotek til Mac OS X, der kan bruges til at interagere med Twitter API og generere autorisationsforbindelser med ugyldige tilbagekaldswebadresser. Biblioteket, der hedder STTwitter, blev imidlertid bygget til legitime formål og har til formål at tilføje Twitter support til Adium, en populær multitokuleret chat-klient til Mac OS X.

Ifølge Seriot kunne Twitter forhindre sådanne angreb af deaktivering af tilbagekaldsfunktionen fra dens OAuth-implementering. Han mener imidlertid ikke, at virksomheden vil gøre dette, fordi det teknisk set er en legitim funktion, der bruges af nogle kunder.

Twitter reagerede ikke straks på en anmodning om kommentar sendt torsdag.