คุณลักษณะ Twitter OAuth สามารถถูกละเมิดได้เพื่อแย่งชิงบัญชีนักวิจัยกล่าวว่า

คุณลักษณะใน Twitter API (โปรแกรมประยุกต์) สามารถถูกโจมตีโดยผู้บุกรุกเพื่อเปิดการโจมตีด้านวิศวกรรมสังคมที่น่าเชื่อถือซึ่งจะทำให้พวกเขามีโอกาสสูงที่จะถูกแย่งชิงบัญชีผู้ใช้ซึ่งเป็นผู้พัฒนาแอปพลิเคชันมือถือเปิดเผยเมื่อวันพุธที่ Hack ในการประชุมด้านความปลอดภัย Box ใน Amsterdam

ปัญหาต้องทำ ด้วยวิธีที่ Twitter ใช้มาตรฐาน OAuth เพื่ออนุญาตแอปของบุคคลที่สามรวมถึงไคลเอ็นต์ Twitter บนเดสก์ท็อปหรือมือถือเพื่อโต้ตอบกับบัญชีผู้ใช้ผ่านทาง API Nicolas Seriot กลุ่มคน อีแลคนักพัฒนาแอพพลิเคชันและผู้จัดการโครงการ Swissquote Bank ประเทศสวิสเซอร์แลนด์เปิดเผยว่า

Twitter อนุญาตให้แอพพลิเคชันระบุ URL เรียกกลับที่กำหนดเองซึ่งผู้ใช้จะถูกเปลี่ยนเส้นทางหลังจากให้สิทธิ์แอ็พพลิเคชันเหล่านั้นเข้าถึงบัญชีของตนผ่านทางหน้าการให้สิทธิ์บนไซต์ Twitter

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

Seriot พบวิธีการสร้างลิงก์พิเศษซึ่งเมื่อผู้ใช้คลิกโดยจะเปิดหน้าการให้สิทธิ์แอปพลิเคชัน Twitter สำหรับลูกค้ายอดนิยมเช่น TweetDeck อย่างไรก็ตามคำขอดังกล่าวจะระบุเซิร์ฟเวอร์ของผู้โจมตีเป็น URL เรียกกลับซึ่งบังคับให้เบราว์เซอร์ของผู้ใช้ส่งโทเค็นการเข้าถึง Twitter ของตนไปยังผู้บุกรุก

โทเค็นการเข้าถึงอนุญาตให้ดำเนินการกับบัญชีที่เชื่อมโยงผ่านทาง Twitter API โดยไม่ต้องใช้ รหัสผ่าน ผู้บุกรุกสามารถใช้โทเค็นดังกล่าวเพื่อโพสต์ทวีตใหม่ในนามของผู้ใช้ที่ถูกบุกรุกอ่านข้อความส่วนตัวของพวกเขาแก้ไขตำแหน่งที่แสดงในทวีตของพวกเขาและอื่น ๆ

การนำเสนอนี้ครอบคลุมถึงนัยสำคัญด้านความปลอดภัยในการอนุญาตการเรียกกลับที่กำหนดเองและอธิบายถึง วิธีการใช้คุณลักษณะนี้เพื่อปลอมตัวเป็นไคลเอ็นต์ Twitter ที่ถูกต้องและเชื่อถือได้เพื่อขโมยข้อมูลการเข้าถึงของผู้ใช้และการแย่งชิงบัญชี Seriot กล่าวว่าผู้บุกรุกสามารถส่งอีเมลพร้อมลิงก์ที่สร้างขึ้นมาดังกล่าวไปยังผู้จัดการโซเชียลมีเดียของ บริษัท ที่สำคัญ หรือองค์กรข่าวที่แนะนำตัวอย่างเช่นว่าเป็นการเชื่อมโยงเพื่อติดตามใครสักคนใน Twitter

เมื่อคลิกที่ลิงก์เป้าหมายจะเห็นหน้า Twitter ที่มีการป้องกันด้วย SSL ขอให้เขาอนุญาต Authorize TweetDeck, Twitter for iOS หรืออื่น ๆ ไคลเอ็นต์ Twitter ยอดนิยมเพื่อเข้าถึงบัญชีของเขา หากเป้าหมายใช้ไคลเอ็นต์ปลอมแปลงอยู่แล้วเขาอาจเชื่อว่าการให้สิทธิ์ที่ได้รับก่อนหน้านี้หมดอายุแล้วและต้องให้สิทธิ์แอปอีกครั้ง

การคลิกที่ปุ่ม "อนุมัติ" จะบังคับให้เบราว์เซอร์ของผู้ใช้ส่งโทเค็นการเข้าถึงไปใช้ เซิร์ฟเวอร์ของผู้โจมตีซึ่งจะเปลี่ยนเส้นทางผู้ใช้กลับไปที่เว็บไซต์ Twitter ผู้ใช้จะไม่เห็นร่องรอยใด ๆ ที่เกิดขึ้น Seriot กล่าวว่า

เพื่อที่จะดำเนินการโจมตีดังกล่าวและสร้างลิงก์พิเศษในตอนแรกผู้บุกรุกจะต้องรู้จักโทเค็น Twitter API สำหรับแอ็พพลิเคชันที่เขา ประสงค์จะแอบอ้าง เหล่านี้มักถูกตรึงอยู่ในตัวโปรแกรมเองและสามารถสกัดได้หลายวิธี Seriot กล่าวว่า

นักพัฒนาซอฟต์แวร์สร้างไลบรารี OAuth โอเพนซอร์สสำหรับ Mac OS X ซึ่งสามารถใช้โต้ตอบกับ Twitter API และสร้างการเชื่อมโยงการอนุญาตด้วย URL เรียกกลับหลอกลวง อย่างไรก็ตามไลบรารีที่เรียกว่า STTwitter ถูกสร้างขึ้นเพื่อวัตถุประสงค์ที่ถูกต้องและมีวัตถุประสงค์เพื่อสนับสนุนการสนับสนุนของ Adium ซึ่งเป็นไคลเอ็นต์แชทหลายโปรโตคอลที่ได้รับความนิยมสำหรับ Mac OS X

ตามที่ Seriot Twitter สามารถป้องกันการโจมตีดังกล่าวได้โดย การปิดใช้ฟังก์ชันการโทรกลับจากการใช้ OAuth อย่างไรก็ตามเขาไม่เชื่อว่า บริษัท จะทำเช่นนี้เพราะเป็นเทคนิคที่ถูกต้องตามกฎหมายซึ่งใช้โดยลูกค้าบางราย

Twitter ไม่ตอบสนองต่อคำขอความคิดเห็นที่ส่งมาในวันพฤหัสบดี