Twitter pfuscht bei Rechteverwaltung

Ein Fehler machte Einschränkungen für Twitter-Apps hinfällig und gestattete etwa den Zugriff auf private Nachrichten auch dann, wenn der Anwender diesen gar nicht gewährt hatte.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 2 Min.

Über einen Fehler in der Verwaltung der Zugriffsrechte konnten Twitter-Apps auf Funktionen und Daten zugreifen, die ihnen der Anwender eigentlich gar nicht freigegeben hat. Der Sicherheitsforscher Cesar Cerrudo informierte Twitter über dieses Problem, das unter anderem Drittanbieter-Apps den Zugriff auf private Nachrichten ermöglichte; der Betreiber hat es daraufhin umgehend behoben.

Twitter bietet eine Programmierschnittstelle, die externe Apps nutzen können, um auf Informationen zuzugreifen oder auch Nachrichten im Namen eines Anwenders zu erstellen. Damit der Anwender dabei nicht jeder App sein Passwort und damit den kompletten Zugang zu seinem Account anvertrauen muss, unterstützt Twitter den Authentifizierungsstandard OAuth. Dabei bekommt jede App ein sogenanntes Token, das den Zugriff auf bestimmte Funktionen gestattet – etwa das Lesen oder Schreiben von Tweets im Namen des Anwenders. Der Anwender muss diese Rechteübergabe eigentlich explizit genehmigen.

Bei den ersten Logins wird Cerrudo noch darauf hingewiesen, was die Drittanbieter-App alles nicht darf.

(Bild: IOActive )

Cerrudo machte jedoch die Entdeckung, dass ihm eine App, der er den Zugriff auf seine privaten Nachrichten nie gestattet hatte, plötzlich all seine Direct Messages bei Twitter präsentierte. Weitere Tests zeigten, dass diese App tatsächlich nach einiger Zeit das Recht zum Zugriff auf die DMs erhielt, auch wenn Cerrudo alle diesbezüglichen Nachfragen konsequent abgelehnt hatte. Der Sicherheitsforscher meldete die Schwachstelle an den Betreiber des sozialen Netzwerks, der den Fehler dann auch innerhalb von 24 Stunden beseitigte.

Nach einigen Logins darf die App plötzlich wie von Zauberhand auf "direct messages" zugreifen.

(Bild: IOActive )

Allerdings bemängelt Cerrudo, dass Twitter weder die Schwachstelle noch den Zeitpunkt der Beseitigung veröffentlicht hat und somit die rund 850 Millionen Anwender im Unklaren lässt. Das wiegt umso schwerer, als dass der Fix nur die neue Rechtevergabe korrigiert; Rechte, die eine App vorher eventuell irregulär erlangt hat, werden ihr offenbar nicht nachträglich entzogen. Twitter-Nutzer, die ihr Twitter-Konto mit Apps verbunden haben, sollten deshalb die vergebenen Zugriffsrechte überprüfen.

Das ist im Übrigen auch eine sinnvolle Maßnahme, wenn mit dem Twitter-Konto seltsame Dinge geschehen, also beispielsweise DMs verschickt werden, von denen man selber nichts weiß. Denn um Applikationen den Zugriff zu verwehren, reicht es nicht, das Twitter-Passwort zu ändern, da die OAuth-Tokens von diesem Schritt unberührt bleiben. Erst wenn man auch allen Apps die Zugriffsrechte entzieht, hat man wieder die alleinige Kontrolle über den Account. (kbe)