Twitter La funzionalità OAuth può essere sfruttata per dirottare account, il ricercatore dice

Una funzione nell'API di Twitter (programmazione dell'applicazione interfaccia) può essere sfruttata dagli aggressori per lanciare attacchi di social engineering credibili che potrebbero dare loro un'alta probabilità di dirottare gli account degli utenti, uno sviluppatore di applicazioni mobili ha rivelato Mercoledì alla conferenza sulla sicurezza di Hack in the Box ad Amsterdam.

Il problema deve con il modo in cui Twitter utilizza lo standard OAuth per autorizzare le app di terze parti, inclusi i client Twitter desktop o mobili, a interagire con gli account utente tramite la sua API, Nicolas Seriot, un mob

Twitter consente alle app di specificare un URL di richiamata personalizzato in cui gli utenti verranno reindirizzati dopo aver concesso a tali app l'accesso ai propri account tramite una pagina di autorizzazione sul sito Twitter.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Seriot ha trovato un modo per creare collegamenti speciali che, quando cliccati dagli utenti, apriranno le pagine di autorizzazione delle app di Twitter per client noti come TweetDeck. Tuttavia, tali richieste specificano il server dell'attaccante come URL di richiamata, costringendo i browser degli utenti a inviare i loro token di accesso a Twitter all'attaccante.

Il token di accesso consente di eseguire azioni con l'account associato tramite l'API di Twitter senza necessità di una password Un utente malintenzionato potrebbe utilizzare tali token per inviare nuovi tweet per conto degli utenti compromessi, leggere i loro messaggi privati, modificare la posizione visualizzata nei loro tweet e altro.

La presentazione ha coperto essenzialmente le implicazioni sulla sicurezza di consentire i callback personalizzati e ha descritto un metodo di utilizzo di questa funzionalità per mascherarsi da client Twitter legittimi e fidati per rubare i token di accesso degli utenti e gli account di hijack, ha detto Seriot.

Un utente malintenzionato potrebbe inviare un'e-mail con un link creato al social media manager di un'importante azienda o l'organizzazione di notizie che suggerisce, ad esempio, che si tratta di un link per seguire qualcuno su Twitter.

Quando si fa clic sul link, l'obiettivo vedrebbe una pagina Twitter protetta da SSL che gli chiede di autorizzare TweetDeck, Twitter per iOS o qualche altro popolare client Twitter, per accedere al suo account. Se l'obiettivo sta già utilizzando il client rappresentato, potrebbe credere che l'autorizzazione concessa in precedenza sia scaduta e devono autorizzare nuovamente l'app.

Facendo clic sul pulsante "autorizza" si forza il browser dell'utente a inviare il token di accesso a il server dell'aggressore, che reindirizza l'utente al sito Web di Twitter. L'utente non vedrebbe alcun segno di qualcosa di brutto, ha detto Seriot.

Al fine di eseguire tale attacco e creare i collegamenti speciali in primo luogo, l'utente malintenzionato dovrebbe conoscere i token delle API di Twitter per le applicazioni che ha desidera impersonare. Questi sono generalmente codificati nelle applicazioni stesse e possono essere estratti in diversi modi, ha detto Seriot.

Lo sviluppatore ha creato una libreria OAuth open source per Mac OS X che può essere utilizzata per interagire con l'API di Twitter e generare collegamenti di autorizzazione con URL di callback non autorizzati. Tuttavia, la libreria, che si chiama STTwitter, è stata creata per scopi legittimi e intende aggiungere il supporto di Twitter ad Adium, un popolare client di chat multiprotocollo per Mac OS X.

Secondo Seriot, Twitter potrebbe prevenire tali attacchi con disabilitazione della funzionalità di callback dalla sua implementazione OAuth. Tuttavia, non crede che la società lo farà, perché tecnicamente è una caratteristica legittima utilizzata da alcuni clienti.

Twitter non ha risposto immediatamente a una richiesta di commento inviata giovedì.