Twitter para secuestrar cuentas, según un investigador

Una característica de la API de Twitter (programación de aplicaciones), maltratado por atacantes para lanzar ataques creíbles de ingeniería social que les daría una alta probabilidad de secuestro de cuentas de usuario. Los atacantes pueden abusar de los ataques de los atacantes para lanzar ataques de ingeniería social creíbles que les darían una gran posibilidad de secuestro de cuentas de usuario, reveló un desarrollador de aplicaciones móviles el miércoles en la conferencia de seguridad Hack in the Box en Ámsterdam.

El problema tiene que ver con la forma en que Twitter usa el estándar OAuth para autorizar aplicaciones de terceros, incluidos los clientes de escritorio o móviles de Twitter, para interactuar con las cuentas de los usuarios a través de su API, Nicolas Seriot, una mafia El

Twitter permite a las aplicaciones especificar una URL de devolución de llamada personalizada en la que los usuarios serán redirigidos después de otorgarles acceso a sus cuentas a través de una página de autorización en el sitio de Twitter.

[Más información: cómo eliminar el malware de su PC con Windows]

Seriot encontró una forma de crear enlaces especiales que, cuando los usuarios hacen clic en ellos, abrirá páginas de autorización de aplicaciones de Twitter para clientes populares como TweetDeck. Sin embargo, esas solicitudes especificarían el servidor del atacante como URL de devolución de llamada, obligando a los navegadores de los usuarios a enviar sus tokens de acceso de Twitter al atacante.

El token de acceso permite realizar acciones con la cuenta asociada a través de la API de Twitter sin necesidad de una contraseña. Un atacante podría usar dichos tokens para publicar nuevos tweets en nombre de los usuarios comprometidos, leer sus mensajes privados, modificar la ubicación que se muestra en sus tweets y más.

La presentación cubría esencialmente las implicaciones de seguridad de permitir devoluciones de llamadas personalizadas y describió una método para usar esta característica para hacerse pasar por clientes de Twitter legítimos y confiables para robar tokens de acceso de usuario y secuestrar cuentas, dijo Seriot.

Un atacante podría enviar un correo electrónico con un enlace tan elaborado al administrador de redes sociales de una compañía importante u organización de noticias sugiriendo, por ejemplo, que se trata de un enlace para seguir a alguien en Twitter.

Al hacer clic en el enlace, el objetivo vería una página de Twitter protegida por SSL pidiéndole que autorizara TweetDeck, Twitter para iOS o algún otro popular cliente de Twitter, para acceder a su cuenta. Si el objetivo ya está utilizando el cliente suplantado, puede creer que la autorización otorgada anteriormente ha expirado y que deben volver a autorizar la aplicación.

Al hacer clic en el botón "autorizar" se forzaría al navegador del usuario a enviar el token de acceso a el servidor del atacante, que luego redireccionaría al usuario al sitio web de Twitter. El usuario no vería ningún signo de que algo malo esté sucediendo, dijo Seriot.

Para realizar tal ataque y crear los enlaces especiales en primer lugar, el atacante necesitaría conocer los tokens de Twitter API para las aplicaciones que desea suplantar Estos generalmente están codificados en las aplicaciones mismas y se pueden extraer de varias maneras, dijo Seriot.

El desarrollador construyó una biblioteca OAuth de código abierto para Mac OS X que se puede usar para interactuar con la API de Twitter y generar enlaces de autorización con URL de devolución de llamada maliciosa. Sin embargo, la biblioteca, que se llama STTwitter, fue creada para fines legítimos y está destinada a agregar soporte de Twitter a Adium, un popular cliente de chat multiprotocolo para Mac OS X.

Según Seriot, Twitter podría evitar tales ataques mediante deshabilitando la funcionalidad de devolución de llamada desde su implementación OAuth. Sin embargo, no cree que la compañía lo haga, porque técnicamente es una característica legítima que utilizan algunos clientes.

Twitter no respondió de inmediato a una solicitud de comentarios enviada el jueves.