Twitter OAuth značajka može biti zlostavljana oteti računima, istraživač kaže

Značajka Twitter API-ja (programiranje aplikacija sučelje može biti zlostavljano od strane napadača kako bi pokrenuli vjerodostojne napade socijalnog inženjeringa koji bi im pružili velike šanse oteti korisničke račune, priopćio je mobilni programer za aplikacije u srijedu na konferenciji o sigurnosnoj konferenciji Hack na Boxu.

To pitanje mora učiniti s načinom na koji Twitter upotrebljava OAuth standard za autorizaciju aplikacija trećih strana, uključujući klijente na stolnim računalima ili mobilnim Twitterima, za interakciju s korisničkim računima putem API-ja, Nicolas Seriot, mafijaš

Twitter dozvoljava aplikacijama da navedu URL prilagođenog povratnog poziva u kojem će korisnici biti preusmjereni nakon dodjele tih aplikacija svojim računima putem stranice za autorizaciju na Twitterovom web mjestu.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Seriot je pronašao način izrade posebnih veza koje korisnici kliknuće otvorit će stranice za autorizaciju aplikacije Twitter za popularne klijente kao što je TweetDeck. Međutim, ti zahtjevi navest će poslužitelja napadača kao URL-ove za povratne pozive, prisiljavajući korisnike preglednika da šalju tokene za pristup Twitteru napadaču.

Pristupni token omogućava radnje s povezanim računom putem Twitter API-ja bez potrebe lozinku. Napadač bi mogao upotrebljavati takve znakove za postavljanje novih tweetova u ime kompromitiranih korisnika, čitanje njihovih privatnih poruka, izmjenu lokacije prikazane u svojim tweetovima i još mnogo toga.

Prezentacija je bitno pokrivala sigurnosne implikacije dopuštajući obične povratne pozive i opisuje način korištenja ove značajke kako bi se prikrili kao legitimne i pouzdane Twitter klijente kako bi ukrali tokene za pristup korisnicima i oduzeli račune, rekao je Seriot.

Napadač bi mogao poslati e-mail s takvom zamišljenom vezom s upraviteljem društvenih medija važne tvrtke ili organizacija vijesti koja sugerira, na primjer, da je to veza koja slijedi nekoga na Twitteru.

Kada kliknete na vezu, cilj će vidjeti stranicu sa zaštićenim SSL-om na Twitteru tražeći od njega dozvolu za TweetDeck, Twitter za iOS ili neku drugu popularni Twitter klijent, za pristup njegovom računu. Ako cilj već koristi lažno predstavljenog klijenta, možda vjeruje da je prethodno odobrena autorizacija istekla i moraju ponovno autorizirati aplikaciju.

Klikom na gumb "autorizacija" prisilili bi korisnikov preglednik da pošalje pristupni token napadačev poslužitelj, koji bi zatim preusmjerio korisnika natrag na web stranicu Twittera. Korisnik ne bi vidio nikakve znakove da se nešto loše događa, rekao je Seriot.

Da bi izvršio takav napad i stvorio posebne veze, napadač bi trebao znati Twitter API tokene za aplikacije želi se lažno predstavljati. Ovi su obično hardcoded u samim aplikacijama i mogu se izdvojiti na nekoliko načina, rekao je Seriot.

Developer je izgradio knjižnicu OAuth otvorenog koda za Mac OS X koja se može koristiti za interakciju s Twitter API-jem i generiranje veza s autorizacijom URL-ovi za povratne pozive. Međutim, knjižnica, koja se zove STTwitter, izgrađena je u legitimne svrhe i namijenjena je dodavanju Twitter podrške Adiumu, popularnom klijentu za više protokola za Mac OS X.

Prema Seriotu, Twitter bi mogao spriječiti takve napade onemogućivanje funkcije povratnog poziva iz implementacije OAuth. Međutim, ne vjeruje da će tvrtka to učiniti, jer je tehnički legitimna značajka koju koriste neki klijenti.

Twitter nije odmah odgovorio na zahtjev za komentar koji je poslan u četvrtak.