Windows

TwitterのOAuth機能はアカウントを乗っ取るために悪用される可能性があると、研究員は述べている

UTF-8 encodering: 你好

UTF-8 encodering: 你好
Anonim

Twitterは、アプリがTwitterのサイトの認証ページを介してアカウントへのアクセスを許可した後、ユーザーがリダイレクトされるカスタムコールバックURLを指定できるようにしている、とスイスのスイスクォートバンクのアプリケーション開発者とプロジェクトマネージャは

> [その他の情報:Windows PCからマルウェアを削除する方法]

Seriotは、ユーザーがクリックすると、TweetDeckなどの人気のあるクライアントのTwitterアプリ承認ページを開く特別なリンクを作成する方法を発見しました。しかし、これらの要求は、攻撃者のサーバーをコールバックURLとして指定し、ユーザーのブラウザがTwitterアクセス​​トークンを攻撃者に送信するよう強制します。

アクセストークンを使用すると、Twitter APIを使用して関連するアカウントでアクションを実行できます。パスワード。攻撃者は、このようなトークンを使用して、侵害されたユーザーに代わって新しいツイートを投稿したり、プライベートメッセージを読んだり、つぶやきに表示された場所を変更したりすることができます。

プレゼンテーションは基本的にカスタムコールバックを許可するというセキュリティの影響を取り上げ、この機能を使用して、正当で信頼できるTwitterクライアントとして装って、ユーザーのアクセストークンとハイジャックアカウントを盗むようにしている、とSeriot氏は述べています。

攻撃者はこのような細工されたリンクを持つ重要な企業のソーシャルメディアマネージャー例えば、Twitterで誰かをフォローするリンクであることを示唆しているニュース・グループ

リンクをクリックすると、SSL保護されたTwitterページが表示され、TweetDeck、Twitter for iOSなどを承認するかどうかを尋ねる人気のあるTwitterクライアントから自分のアカウントにアクセスします。ターゲットがすでに偽装されたクライアントを使用している場合、以前に付与された承認が期限切れであり、アプリを再認証する必要があると思われる可能性があります。

[承認]ボタンをクリックすると、攻撃者のサーバーはユーザーをTwitterのWebサイトにリダイレクトします。ユーザーは何か悪い出来事の兆候は見られないだろうと、Seriotは言った。

そのような攻撃を行い、最初に特別なリンクを作るためには、攻撃者はアプリケーションのためにTwitter APIトークンを知る必要がある偽装したいこれらは一般にアプリケーション自体にハードコードされており、いくつかの方法で抽出することができる、とSeriot氏は述べています。

Mac OS X用のオープンソースOAuthライブラリを開発したので、Twitter APIと対話し、不正なコールバックURL。しかし、STTwitterと呼ばれるこのライブラリは正当な目的で作られたもので、Mac OS X向けの人気のあるマルチプロトコルチャットクライアントであるAdiumにTwitterサポートを追加しようとしている。

Seriotによると、TwitterはOAuth実装からコールバック機能を無効にします。しかし、一部のクライアントが技術的に正当な機能を利用しているため、同社はこれを行うとは考えていない。

木曜日に送られたコメントのリクエストには、