Funkcja OAuth na Twitterze może zostać wykorzystana do przejęcia kont, naukowiec mówi

Funkcja w interfejsie API Twittera (programowanie aplikacji interfejs) mogą zostać wykorzystane przez atakujących, aby uruchomić wiarygodne ataki inżynierii społecznej, które miałyby duże szanse na przejęcie kontroli nad kontami użytkowników, ujawnił twórca aplikacji mobilnych w środę na konferencji bezpieczeństwa Hack in the Box w Amsterdamie.

Problem musi zrobić z tym, w jaki sposób serwis Twitter wykorzystuje standard OAuth do autoryzowania aplikacji innych firm, w tym klientów komputerów stacjonarnych i mobilnych Twittera, do interakcji z kontami użytkowników za pośrednictwem swojego interfejsu API, Nicolas Seriot, moba Jak powiedział w czwartek deweloper aplikacji i kierownik projektu w Swissquote Bank w Szwajcarii.

Twitter pozwala aplikacjom na określenie niestandardowego adresu URL wywołania zwrotnego, za pomocą którego przekierowani użytkownicy będą mieli dostęp do swoich kont za pośrednictwem strony autoryzacji na stronie Twittera.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Seriota znalazła sposób na stworzenie specjalnych linków, które po kliknięciu przez użytkowników otworzą strony autoryzacji aplikacji Twitter dla popularnych klientów, takich jak TweetDeck. Jednak te żądania określają serwer atakującego jako adresy URL wywołania zwrotnego, zmuszając przeglądarki użytkowników do wysyłania tokenów dostępu do Twittera atakującemu.

Token dostępu umożliwia wykonywanie akcji z powiązanym kontem za pośrednictwem interfejsu API Twittera bez potrzeby hasło. Osoba atakująca może użyć takich tokenów, aby publikować nowe tweety w imieniu zhakowanych użytkowników, czytać ich prywatne wiadomości, modyfikować lokalizację wyświetlaną w swoich tweetach itd.

Prezentacja dotyczyła w zasadzie implikacji związanych z bezpieczeństwem pozwalających na niestandardowe oddzwanianie i opisała sposób wykorzystania tej funkcji do maskowania się jako wiarygodni i zaufani klienci Twittera w celu kradzieży kont użytkowników i kont hijack, powiedział Seriot.

Osoba atakująca może wysłać wiadomość e-mail z takim spreparowanym linkiem do menedżera mediów społecznościowych ważnej firmy lub organizację informacyjną sugerującą na przykład, że jest to link do obserwowania kogoś na Twitterze.

Po kliknięciu linku cel zobaczyłby stronę z Twittera chronioną protokołem SSL, proszącą go o upoważnienie TweetDeck, Twittera dla iOS lub jakiegoś innego popularny klient Twittera, aby uzyskać dostęp do jego konta. Jeśli cel już korzysta z podanego klienta, może sądzić, że przyznana wcześniej autoryzacja wygasła i muszą ponownie autoryzować aplikację.

Kliknięcie przycisku "autoryzuj" zmusiłoby przeglądarkę użytkownika do wysłania tokena dostępu do serwer atakującego, który przekieruje użytkownika z powrotem na stronę Twittera. Użytkownik nie zauważy żadnych oznak złego wydarzenia, powiedział Seriot.

Aby wykonać taki atak i stworzyć specjalne linki, osoba atakująca musi znać tokeny interfejsu Twittera dla aplikacji, które chce się podrobić. Są one generalnie zakodowane w samych aplikacjach i można je uzyskać na kilka sposobów, powiedział Seriot.

Twórca zbudował bibliotekę OAuth o otwartym kodzie źródłowym dla systemu Mac OS X, która może być używana do interakcji z interfejsem Twitter API i generowania połączeń autoryzacyjnych z fałszywe adresy URL wywołania zwrotnego. Jednak biblioteka, która nazywa się STTwitter, została zbudowana dla celów zgodnych z prawem i ma na celu dodanie obsługi Twittera do Adium, popularnego wielo-protokolarnego klienta do czatu dla Mac OS X.

Według Seriot, Twitter może zapobiec takim atakom przez wyłączenie funkcji oddzwaniania z jej implementacji OAuth. Nie wierzy jednak, że firma to zrobi, ponieważ jest technicznie uzasadnioną funkcją, z której korzystają niektórzy klienci.

Twitter nie odpowiedział natychmiast na prośbę o komentarz wysłany w czwartek.