Функция Twitter OAuth может быть использована для злоупотребления учетными записями, говорит исследователь

Функция в API Twitter (прикладное программирование) интерфейс) могут быть атакованы злоумышленниками для запуска надежных атак социальной инженерии, которые дадут им высокую вероятность захвата учетных записей пользователей, разработчик мобильных приложений показал среду на конференции по безопасности Hack in the Box в Амстердаме.

Проблема должна быть решена с тем, как Twitter использует стандарт OAuth для авторизации сторонних приложений, включая настольных или мобильных клиентов Twitter, для взаимодействия с учетными записями пользователей через свой API, Николя Серио, толпу ile, разработчик приложений и менеджер проектов в Swissquote Bank в Швейцарии, сказал в четверг.

Twitter позволяет приложениям указывать собственный URL обратного вызова, где пользователи будут перенаправлены после предоставления этим приложениям доступа к своим учетным записям через страницу авторизации на сайте Twitter.

[Читать дальше: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Сериот нашел способ создавать специальные ссылки, которые при нажатии на них откроют страницы авторизации приложений Twitter для популярных клиентов, таких как TweetDeck. Тем не менее, эти запросы будут указывать сервер злоумышленника как URL-адреса обратного вызова, заставляя браузеры пользователей отправлять маркеры доступа к Twitter злоумышленнику.

Маркер доступа позволяет выполнять действия с соответствующей учетной записью через API Twitter без необходимости пароль. Злоумышленник может использовать такие токены для публикации новых твитов от имени уязвимых пользователей, чтения их личных сообщений, изменения местоположения, отображаемого в их твитах, и т. Д.

В презентации основное внимание было уделено последствиям безопасности, позволяющим настраивать обратные вызовы, и описывается метод использования этой функции для маскировки как законных и доверенных клиентов Twitter, чтобы украсть токены доступа пользователей и блокировать учетные записи, сказал Сериот.

Нападавший может отправить электронное письмо с такой обработанной ссылкой на менеджера социальных сетей важной компании или новостная организация, предлагающая, например, ссылку на то, чтобы следовать за кем-то в Твиттере.

При нажатии на ссылку целевой будет видеть защищенную SSL-страницей Twitter, в которой ему будет предложено разрешить TweetDeck, Twitter для iOS или какой-либо другой популярный клиент Twitter, чтобы получить доступ к своей учетной записи. Если цель уже использует олицетворенного клиента, он может поверить, что ранее предоставленная авторизация истекла, и им необходимо повторно авторизировать приложение.

Нажатие кнопки «авторизация» заставит браузер пользователя отправлять токен доступа сервер злоумышленника, который затем перенаправляет пользователя обратно на сайт Twitter. Пользователь не заметил никаких признаков того, что что-то происходит плохо, сказал Сериот.

Чтобы выполнить такую ​​атаку и создать специальные ссылки в первую очередь, злоумышленнику нужно будет знать токены API Twitter для приложений, которые он хочет олицетворять. Они обычно жестко закодированы в самих приложениях и могут быть извлечены несколькими способами, сказал Серо.

Разработчик построил библиотеку OAuth с открытым исходным кодом для Mac OS X, которая может использоваться для взаимодействия с API Twitter и создания ссылок на авторизацию с помощью мошеннические обратные URL. Тем не менее, библиотека, которая называется STTwitter, была построена для законных целей и предназначена для добавления поддержки Twitter для популярного многопротокового чат-клиента Adium для Mac OS X.

По словам Серио, Twitter может предотвратить такие атаки отключение функциональности обратного вызова от реализации OAuth. Тем не менее, он не верит, что компания сделает это, потому что это технически законная функция, используемая некоторыми клиентами.

Twitter не сразу ответил на запрос для комментария, отправленного в четверг.