Twitter schließt eine Lücke und die nächste taucht auf
Twitter-Anwender können seit neuestem eine PIN angeben, die verhindert, dass jemand ihnen gefälschte Status-Updates via SMS unterschiebt. Dafür könnte ein Wurm eine Cross-Site-Scripting-Lücke ausnutzen.
Kaum schließt der Microblogging-Dienst Twitter das Problem mit den fälschbaren SMS-Updates zumindest provisorisch, schon taucht eine Cross-Site-Scipting-Lücke auf, die prinzipiell sogar ein Wurm ausnutzen könnte, um sich im Twitter-Space auszubreiten.
Gefälschte Twitter-News via SMS soll eine optionale PIN für SMS-Nachrichten verhindern. Das Problem dabei ist, dass man diese Funktion selbst aktivieren muss und bislang so gut wie niemand davon weiß.
Nachdem heise Security gemeldet [1] hatte, dass es zumindest in Deutschland und Großbritannien [2] problemlos möglich war, Twitter-Updates über SMS-Kurznachrichten mit gefälschter Absenderaddresse einzuschleusen, ging die amerikanische Firma erst einmal auf Tauchstation: Weder Support-Anfragen noch E-Mails an die Pressestelle wurden beantwortet. Letzte Nacht reagierte dann Mitgründer Biz Stone mit einem lakonischen Verweis auf die PIN-Funktion.
Neuerdings können auch in Europa Anwender in den Device-Einstellungen eine kurze Zahlenfolge als PIN eingeben. Dann akzeptiert der Twitter-Server Status-Updates via SMS nur noch, wenn sie mit dieser PIN beginnen; Meldungen ohne oder mit falscher PIN verwirft er kommentarlos. Diese Funktion gibt es in den USA schon länger; in Deutschland und England bot sie Twitter bislang jedoch nicht an. Bei der Umstellung hat anscheinend auch das Layout der Seiten gelitten: Derzeit kann man mit Firefox und Safari die Eingabefelder für Handynummer und PIN nicht mehr erkennen; um sie dennoch einzugeben, muss man auf Verdacht an die richtige Stelle klicken.
Wer eine Handynummer mit seinem Twitter-Account gekoppelt hat, sollte unbedingt auch eine PIN vergeben. Da sich die Absenderadressen von SMS-Nachrichten leicht fälschen lassen, kann sonst jeder, der die Telefonnummer kennt, gefälschte Twitter-Nachrichten absetzen oder auch Kommandos an den Server senden.
Gestern veröffentlichten die Sicherheitsexperten von Secure Science eine XSS-Lücke [3], die nach Tests von heise Security weiterhin offen ist; lediglich die ursprünglich verwendete, gekürzte TinyURL wurde mittlerweile gesperrt. Der Exploit wirkt ähnlich dem Don't-Click-Link [4], dem Ende Februar tausende klickfreudige Anwender auf den Leim gingen: Klickt ein Anwender auf einen präparierten Link, während er bei dem Dienst angemeldet ist, setzt der eingebettete Skript-Code automatisch ein Posting unter seinem Twitter-Namen ab.
Der Exploit macht sich zu Nutze, dass eine Twitter-Seite mit einem Antragsformular den Inhalt der Variablen device_source[name] ungefiltert übernimmt und einbettet. So gelangt JavaScript-Code in den Kontext der Web-Anwendung. Er erzeugt ein verstecktes HTML-Formular, das er dann selbst abschickt, um im Namen des angemeldeten Benutzers einen neuen Tweet an die Twitter-API zu senden.
Die auf Twitter üblichen Kurz-Links wie TinyURL oder is.gd verschleiern die Gefährlichkeit der präparierten Links. Mit einem ähnlich gut gewählten Text wie "Don't click this:" könnte sich ein Twitter-Wurm auf diese Art in Windeseile im Twitter-Space ausbreiten, wenn er auf die vorgeschaltete Warnung der Secure-Science-Demo verzichtet. (cr [5]/c't) / (ju [6])
URL dieses Artikels:
https://www.heise.de/-208220
Links in diesem Artikel:
[1] https://www.heise.de/news/Twitter-immer-noch-anfaellig-fuer-SMS-Faelscher-Update-204527.html
[2] http://www.h-online.com/security/Twitter-spoofing-fix-fails-in-UK-and-Germany--/news/112790
[3] http://www.securescience.net/twoubledtwitter.html
[4] https://www.heise.de/news/Twitter-Wurm-Don-t-Click-verbreitet-sich-im-Twitter-Space-Update-195344.html
[5] mailto:cr@heisec.de
[6] mailto:ju@ct.de
Copyright © 2009 Heise Medien