Twitter OAuth-functie kan misbruikt worden om accounts te kapen, zegt onderzoeker

Een functie in de Twitter API (applicatieprogrammering interface) kan worden misbruikt door aanvallers om geloofwaardige social engineering-aanvallen te lanceren die hen een grote kans zouden geven op het kapen van gebruikersaccounts, onthulde een ontwikkelaar van mobiele apps woensdag tijdens de Hack in the Box beveiligingsconferentie in Amsterdam.

Het probleem moet worden opgelost met hoe Twitter de OAuth-standaard gebruikt om apps van derden, waaronder desktop- of mobiele Twitter-clients, te autoriseren om te communiceren met gebruikersaccounts via de API, Nicolas Seriot, een menigte ile applicatie-ontwikkelaar en projectmanager bij Swissquote Bank in Zwitserland, zei donderdag.

Twitter staat apps toe om een ​​aangepaste callback-URL op te geven waar gebruikers worden omgeleid nadat ze die apps toegang hebben verleend tot hun accounts via een autorisatiepagina op Twitter's site. > [Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Seriot heeft een manier gevonden om speciale links te maken die, wanneer erop wordt geklikt door gebruikers, Twitter-app-autorisatiepagina's openen voor populaire klanten zoals TweetDeck. Die verzoeken specificeren echter de server van de aanvaller als callback-URL's, waardoor browsers van gebruikers hun Twitter-toegangstokens naar de aanvaller moeten sturen.

Met de toegangstoken kunnen acties worden uitgevoerd met het gekoppelde account via de Twitter API zonder de noodzaak van een wachtwoord. Een aanvaller kan dergelijke tokens gebruiken om nieuwe tweets te plaatsen namens de getroffen gebruikers, hun privéberichten te lezen, de locatie te wijzigen die wordt weergegeven in hun tweets en meer.

De presentatie omvatte voornamelijk de beveiligingsimplicaties van het toestaan ​​van aangepaste callbacks en beschreef een methode om deze functie te gebruiken om zich te vermommen als legitieme en vertrouwde Twitter-clients om gebruikerstoegangstokens en kapingsaccounts te stelen, zei Seriot.

Een aanvaller kon een e-mail sturen met een dergelijke bewerkte link naar de socialemediabeheerder van een belangrijk bedrijf of een nieuwsorganisatie die bijvoorbeeld suggereert dat het een link is om iemand op Twitter te volgen.

Wanneer op de link wordt geklikt, ziet het doel een door SSL beveiligde Twitter-pagina die hem vraagt ​​om TweetDeck, Twitter voor iOS of een ander populaire Twitter-client, om toegang te krijgen tot zijn account. Als het doel de reeds geïmiteerde klant al gebruikt, kan hij denken dat de eerder verleende autorisatie is verlopen en moet hij de app opnieuw autoriseren.

Als u op de knop "autoriseren" klikt, wordt de browser van de gebruiker gedwongen het toegangstoken naar de server van de aanvaller, die de gebruiker vervolgens doorverwijst naar de Twitter-website. De gebruiker ziet geen enkel teken van iets slechts, zei Seriot.

Om een ​​dergelijke aanval uit te voeren en de speciale links in de eerste plaats te maken, moet de aanvaller de Twitter API-tokens kennen voor de toepassingen die hij wenst zich na te doen. Deze zijn over het algemeen hard gecodeerd in de applicaties zelf en kunnen op verschillende manieren worden geëxtraheerd, aldus Seriot.

De ontwikkelaar heeft een open-source OAuth-bibliotheek voor Mac OS X gebouwd die kan worden gebruikt om te communiceren met de Twitter API en autorisatielinks te genereren met rogue callback-URL's. De bibliotheek, die STTwitter wordt genoemd, is echter gebouwd voor legitieme doeleinden en is bedoeld om Twitter-ondersteuning te geven aan Adium, een populaire multiprotocol-chatclient voor Mac OS X.

Volgens Seriot kon Twitter dergelijke aanvallen voorkomen door uitschakelen van de callback-functionaliteit van de OAuth-implementatie. Hij gelooft echter niet dat het bedrijf dit zal doen, omdat het technisch gezien een legitieme functie is die door sommige klanten wordt gebruikt.

Twitter reageerde niet onmiddellijk op een verzoek om commentaar dat donderdag werd verzonden.