Twitter OAuth özelliği hesapları kaçırmak için suistimal edilebilir, araştırmacı diyor

Twitter API'sinde bir özellik (uygulama programlama arayüz) saldırganların kullanıcı hesaplarını ele geçirme şansı yüksek olacak güvenilir sosyal mühendislik saldırıları başlatmaları için suistimal edilebilir. Bir mobil uygulama geliştiricisi Çarşamba günü Amsterdam'daki Box güvenlik konferansında Hack'i ortaya çıkardı.

Sorun yapmak zorunda. Twitter'ın, masaüstü veya mobil Twitter istemcileri de dahil olmak üzere üçüncü taraf uygulamalarını API'sı, bir kullanıcı kitlesi olan Nicolas Seriot gibi kullanıcı hesaplarıyla etkileşimde bulunmak için OAuth standardını nasıl kullandığı İsviçre'deki Swissquote Bank'taki uygulama geliştiricisi ve proje yöneticisi Perşembe günü belirtti.

Twitter, uygulamaların, kullanıcıların Twitter hesabındaki bir yetkilendirme sayfası aracılığıyla hesaplarına erişim verdikten sonra kullanıcıların yeniden yönlendirileceği özel bir geri arama URL'si belirtmelerine izin veriyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Seriot, kullanıcılar tarafından tıklandığında, TweetDeck gibi popüler müşteriler için Twitter uygulama yetkilendirme sayfalarını açacak özel bağlantılar oluşturmanın bir yolunu buldu. Ancak, bu istekler saldırganın sunucusunu geri arama URL'leri olarak belirtebilir ve kullanıcıların tarayıcılarını Twitter erişim belirteçlerini saldırgan kişiye göndermelerini zorunlu kılar.

Erişim belirteci, Twitter API aracılığıyla ilgili hesapla ilgili işlemlerin gerçekleştirilmesine olanak tanımamaktadır. bir parola. Saldırgan, söz konusu jetonları, güvenliği ihlal edilmiş kullanıcılar adına yeni tweet'ler yayınlamak, özel mesajlarını okumak, tweet'lerinde görüntülenen yeri değiştirmek ve daha fazlası için kullanabilir.

Sunum esasen özel geri aramalara izin vermenin güvenlik etkilerini kapsamakta ve Bu özelliğin, kullanıcı erişim jetonlarını çalmak ve hesapları kaçırmak için meşru ve güvenilir Twitter müşterileri olarak maskelenmesi yöntemini kullandığını söyledi.

Bir saldırgan, önemli bir şirketin sosyal medya yöneticisine böyle bir bağlantı ile e-posta gönderebilir ya da haber kuruluşu, örneğin, Twitter'daki bir kişiyi takip etmenin bir bağlantı olduğunu öne sürüyor.

Bağlantıya tıklandığında, hedef, SSL korumalı Twitter sayfasını görerek TweetDeck, Twitter for iOS veya başka bir şekilde yetkilendirmesini istiyor. popüler Twitter müşterisi, hesabına erişmek için. Hedef zaten kimliğine bürünülen müşteriyi kullanıyorsa, önceden verilmiş olan yetkilendirmenin sona erdiğini ve uygulamanın yeniden yetkilendirilmesi gerektiğini düşünüyor olabilir.

"Yetkilendir" düğmesini tıkladığında kullanıcının tarayıcısını erişim belirtecini göndermeye zorlar saldırganın sunucusu daha sonra kullanıcıyı tekrar Twitter web sitesine yönlendirecektir. Kullanıcı, kötü bir şey olduğuna dair herhangi bir işaret görmeyeceğini söyledi.

Böyle bir saldırıyı gerçekleştirebilmek ve ilk etapta özel bağlantıları kurabilmek için, saldırganın uygulamalara yönelik olarak Twitter API belirteçlerini bilmesi gerekiyor. kimliğe bürünmek istiyor. Bunlar genellikle uygulamaların kendisinde kodlanmış ve çeşitli yollarla elde edilebiliyor, dedi.

Geliştirici, Twitter API'siyle etkileşimde bulunmak ve yetkilendirme bağlantıları oluşturmak için kullanılabilen Mac OS X için açık kaynaklı bir OAuth kitaplığı oluşturdu. hileli geri arama URL'leri. Ancak, STTwitter olarak adlandırılan kütüphane, meşru amaçlar için oluşturuldu ve Mac OS X için popüler bir çoklu protokollü sohbet istemcisi olan Adium'a Twitter desteği eklemeyi hedefliyor.

Seriot'a göre Twitter, bu tür saldırıları engelleyebilir. geri çağrı işlevselliğini OAuth uygulamasından devre dışı bırakıyor. Ancak, şirketin bunu yapacağına inanmıyor, çünkü teknik olarak bazı müşteriler tarafından kullanılan meşru bir özellik.

Twitter, Perşembe günü gönderilen yorum talebini hemen yanıtlamadı.