Twitter OAuth-funksjonen kan misbrukes for å kapre kontoer, sier forsker

En funksjon i Twitter API grensesnitt) kan misbrukes av angripere for å starte troverdige sosialtekniske angrep som vil gi dem en stor sjanse til å kapre brukerkontoer, avslørte en mobilapplikasjonsutvikler onsdag på Hack in Box-sikkerhetskonferansen i Amsterdam.

Problemet må gjøres med hvordan Twitter bruker OAuth-standarden til å autorisere tredjepartsapps, inkludert desktop eller mobile Twitter-klienter, for å samhandle med brukerkontoer via API, Nicolas Seriot, en mobbe Twitter-appen kan spesifisere en egendefinert tilbakekallingsadresse hvor brukere blir omdirigert etter at de har gitt disse appene tilgang til sine kontoer via en autorisasjonsside på Twitters nettsted.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Seriot har funnet en måte å lage spesielle koblinger som, når de klikkes av brukere, åpner Twitter app autorisasjonssider for populære kunder som TweetDeck. Disse forespørsler vil imidlertid angi angriperens server som tilbakekallingsadresser, og tvinge brukerne til å sende sine Twitter-tilgangstegn til angriperen.

Tilgangstoken tillater at handlinger utføres med tilhørende konto via Twitter API uten behov for et passord. En angriper kan bruke slike tokens til å legge inn nye tweets på vegne av de kompromitterte brukerne, lese deres private meldinger, endre plasseringen som vises i deres tweets og mer.

Presentasjonen i hovedsak dekket sikkerhetsimplikasjonene ved å tillate tilpassede tilbakeringinger og beskrevet en metode for å bruke denne funksjonen til å maskerere som legitime og klarerte Twitter-klienter for å stjele brukertilgangstokener og kapre kontoer, sier seriot.

En angriper kan sende en e-post med en slik utformet lenke til et sosialt mediaansvarlig for et viktig selskap eller nyhetsorganisasjon som for eksempel forklarer at det er en lenke for å følge noen på Twitter.

Når du klikker på linken, vil målet se en SSL-beskyttet Twitter-side som ber om å godkjenne TweetDeck, Twitter for iOS eller noen andre populær Twitter klient, for å få tilgang til sin konto. Hvis målet allerede bruker den imiterte klienten, kan han tro at den tidligere innvilgede autorisasjonen er utløpt, og de må autorisere appen.

Klikk på "autoriser" -knappen ville tvinge brukerens nettleser til å sende tilgangstoken til angriperens server, som deretter vil omdirigere brukeren tilbake til Twitter-nettsiden. Brukeren ville ikke se noe tegn på noe dårlig, sier Seriot.

For å utføre et slikt angrep og lage de spesielle koblingene i utgangspunktet, ville angriperen trenge å kjenne Twitter API-tokens for applikasjonene han ønsker å etterligne. Disse er vanligvis hardkodede i applikasjonene selv og kan hentes på flere måter, sa Seriot.

Utvikleren har bygget et åpen kildekode-OAuth-bibliotek for Mac OS X som kan brukes til å samhandle med Twitter API og generere autorisasjonsforbindelser med falske tilbakekallingsadresser. Biblioteket, som kalles STTwitter, ble imidlertid bygget for legitime formål og er ment å legge til Twitter-støtte til Adium, en populær multitokuleringsklientklient for Mac OS X.

Ifølge Seriot kunne Twitter forhindre slike angrep av deaktivere tilbakeringingsfunksjonaliteten fra sin OAuth-implementering. Men han tror ikke at selskapet vil gjøre dette, fordi det er teknisk en legitim funksjon som brukes av noen kunder.

Twitter reagerte ikke umiddelbart på en forespørsel om kommentar sendt torsdag.