Caracteristica Twitter OAuth poate fi abuzată pentru a deturna conturile, spune cercetătorul

O caracteristică în API-ul Twitter interfață) pot fi abuzate de atacatori pentru a lansa atacuri credibile de inginerie socială, care le-ar oferi șanse mari de a deturna conturile de utilizator, a dezvăluit un dezvoltator de aplicații mobile miercuri la conferința de securitate Hack in the Box din Amsterdam. cu modul în care Twitter utilizează standardul OAuth pentru a autoriza aplicații terță parte, inclusiv clienți de pe desktop sau mobil Twitter, pentru a interacționa cu conturile utilizatorilor prin API-ul său, Nicolas Seriot, o mulțime a spus joi

Twitter permite aplicațiilor să specifice o adresă URL personalizată a inversării apelurilor în care utilizatorii vor fi redirecționați după acordarea accesului acestor aplicații la conturile lor printr-o pagină de autorizare pe site-ul Twitter. > [Lectură suplimentară: Cum să eliminați programele malware de pe PC-ul dvs. de Windows]

Seriot a găsit o modalitate de a crea linkuri speciale care, atunci când fac clic de utilizatori, vor deschide paginile de autorizare Twitter pentru clienți populari precum TweetDeck. Cu toate acestea, aceste solicitări ar specifica serverul atacatorului ca adrese URL de apel invers, forțând browserele utilizatorilor să trimită token-urile de acces Twitter către atacator.

Indicația de acces permite efectuarea de acțiuni cu contul asociat prin API-ul Twitter fără a fi nevoie de o parolă. Un atacator ar putea folosi astfel de jetoane pentru a posta tweets noi în numele utilizatorilor compromiși, a citi mesajele lor private, a modifica locația afișată în tweets și multe altele.

Prezentarea a acoperit în esență implicațiile de securitate ale permiterii apelurilor personalizate și a descris metoda de a folosi această caracteristică pentru a masca clienții legitimi și de încredere ai Twitter pentru a fura jetoanele de acces ale utilizatorilor și a deturna conturile, a spus Seriot.

Un atacator ar putea trimite un e-mail cu un link atât de artizanat la managerul social media al unei companii importante sau o organizație de știri care sugerează, de exemplu, că este un link pentru a urma pe cineva pe Twitter.

Când faceți clic pe link, țintă ar vedea o pagină Twitter protejată prin SSL, cerându-i să autorizeze TweetDeck, Twitter pentru iOS sau alte client popular Twitter, pentru a accesa contul său. Dacă țintă utilizează deja clientul impersonat, s-ar putea să creadă că autorizarea acordată anterior a expirat și trebuie să re-autorizeze aplicația.

Dacă faceți clic pe butonul "autoriza", utilizatorul va forța browserul să trimită tokenul de acces serverul atacatorului, care va redirecționa utilizatorul înapoi la site-ul Twitter. Utilizatorul nu ar vedea nici un semn de rău, a spus Seriot.

Pentru a efectua un astfel de atac și a crea legăturile speciale în primul rând, atacatorul ar trebui să știe jetoanele API Twitter pentru aplicațiile pe care le dorește să se impersoneze. Acestea sunt, în general, hardcoded în aplicații și pot fi extrase în mai multe moduri, a spus Seriot.

Dezvoltatorul a construit o bibliotecă open source OAuth pentru Mac OS X care poate fi utilizată pentru a interacționa cu Twitter API și pentru a genera legături de autorizare adresele URL de apel invers. Cu toate acestea, biblioteca, numită STTwitter, a fost construită în scopuri legitime și este destinată să adauge suportul Twitter pentru Adium, un popular client de chat multi-protocol pentru Mac OS X.

Potrivit lui Seriot, Twitter ar putea preveni astfel de atacuri dezactivând funcția de apel invers din implementarea OAuth. Cu toate acestea, el nu crede că societatea va face acest lucru, deoarece este o caracteristică tehnică legitimă utilizată de unii clienți.

Twitter nu a răspuns imediat la o cerere de comentariu trimisă joi.