Hintertür bei Twitter schließen

Wenn das Twitter-Passwort einmal in fremde Hände gefallen ist, reicht es nicht, nur das Passwort zu ändern - auch der OAuth-Zugang muss versorgt werden.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 2 Min.

Terence Eden änderte kürzlich sein Twitter-Passwort, weil ihn der Dienstbetreiber warnte, dass es möglicherweise kompromittiert worden sei. Doch nachdem er damit sozusagen das Schloss der Eingangstür getauscht hatte, stellte er fest, dass der Dienstbotenzugang in Form der OAuth-Anmeldung nach wie vor sperrangelweit offen stand.

Die Applikation hat unbeschränkten Zugriff auf den Twitter-Account.

OAuth ist ein Verfahren, das es erlaubt, Diensten von Drittanbietern Zugang zu einem Account etwa bei Twitter zu gewähren, ohne dass man dem Drittanbieter sein Passwort anvertrauen muss. Dazu muss man lediglich einmal bei Twitter bestätigen, dass die App XYZ auf das Twitter-Profil zugreifen darf. Dummerweise gilt diese Erlaubnis ohne jegliche Einschränkung – auch nach einer Passwort-Änderung.

Das bedeutet, dass ein Angreifer, der einmal im Besitz des Passworts ist, etwa den Dienst My-Backdoor autorisieren kann. Damit überreicht Twitter My-Backdoor ein OAuth-Token, mit dem es künftig Zugang zum Twitter-Zugang erhalten kann. Dieses Token bleibt gültig, auch nachdem der legitime Besitzer des Accounts sein Passwort geändert hat. Der vom Angreifer kontrollierte Dienst My-Backdoor hat nach wie vor unbeschränkten Zugang zum Twitter-Account.

Yahoo bietet eine "Auto-Revocation" der autorisierten Dienste an.

Um dieses Problem zu lösen, müsste Twitter bei einer Passwort-Änderung zumindest die Möglichkeit bieten, auch die OAuth-Tokens zu widerrufen, wie es beispielsweise Yahoo macht. Bis Twitter eine ähnliche Option einführt, sollten Twitter-Nutzer im Zweifelsfall selbst von Hand alle autorisierten Verbindungen aus den Settings entfernen.

Siehe dazu auch:

(ju)