Twitter OAuth-funktionen kan missbrukas för att kapa konton, säger forskare

En funktion i Twitter API gränssnittet) kan missbrukas av angripare för att starta trovärdiga socialtekniska attacker som skulle ge dem en stor chans att kapra användarkonton, avslöjade en mobilapplikationsutvecklare onsdag vid säkerhetshögskolan Hack in the Box i Amsterdam.

Problemet måste göra med hur Twitter använder OAuth-standarden för att auktorisera program från tredje part, inklusive stationära eller mobila Twitter-klienter, att interagera med användarkonton via sitt API, Nicolas Seriot, en mobb

Twitter tillåter att appar anger en anpassad återuppringningsadress där användarna omdirigeras efter att de beviljat dessa appar åtkomst till sina konton via en auktoriseringssida på Twitters webbplats.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Seriot hittade ett sätt att skapa speciella länkar som, när de klickas av användarna, öppnar Twitter-apptillståndssidor för populära kunder som TweetDeck. Dessa förfrågningar skulle emellertid ange attackerens server som återkopplingsadresser, vilket tvingar användarnas webbläsare att skicka sina Twitter-åtkomststickor till angriparen.

Åtkomsttoken tillåter att åtgärder utförs med det tillhörande kontot via Twitter API utan att behöva ett lösenord En angripare kan använda sådana tokens för att lägga in nya tweets för de kompromisserade användarnas räkning, läsa deras privata meddelanden, ändra platsen som visas i deras tweets och mer.

Presentationen omfattade i huvudsak säkerhetsaspekterna av att tillåta anpassade återuppringningar och beskrev en Metod för att använda denna funktion för att maskera som legitima och betrodda Twitter-klienter för att kunna stjäla användaråtkomsttoken och kapacitetskonton, säger Seriot.

En angripare kan skicka ett mail med en sådan skapad länk till ett viktigt företags sociala medier chef eller nyhetsorganisation som tyder på att det är en länk att följa någon på Twitter.

När du klickar på länken skulle målet se en SSL-skyddad Twitter-sida som ber honom att godkänna TweetDeck, Twitter för iOS eller någon annan populär Twitter-klient, för att komma åt sitt konto. Om målet redan använder den omannonserade klienten kan han tro att den tidigare beviljade auktoriteten har löpt ut och de måste godkänna appen igen.

Klicka på "godkänn" -knappen skulle tvinga användarens webbläsare att skicka accesstoken till angriparens server, som då skulle omdirigera användaren tillbaka till Twitter-webbplatsen. Användaren skulle inte se några tecken på något dåligt att hända, sade Seriot.

För att kunna utföra en sådan attack och skapa de speciella länkarna i första hand, skulle angriparen behöva känna till Twitter API-tokens för de applikationer han vill efterlikna. Dessa är vanligtvis hårdkodade i applikationerna själva och kan extraheras på flera sätt, säger Seriot.

Utvecklaren byggde ett OAuth-bibliotek med öppen källkod för Mac OS X som kan användas för att interagera med Twitter API och skapa auktoriseringslänkar med felaktiga återkopplingsadresser. Biblioteket, som kallas STTwitter, byggdes för legitima ändamål och är avsedd att lägga till Twitter-stöd till Adium, en populär multi-protokoll chattklient för Mac OS X.

Enligt Twitter kan Twitter hindra sådana attacker av inaktivera återuppringningsfunktionen från dess OAuth-implementering. Men han tror inte att företaget kommer att göra det eftersom det är tekniskt en legitim funktion som används av vissa kunder.

Twitter svarade inte omedelbart på en begäran om kommentar skickad torsdag.