O problema tem a ver com a forma como o Twitter utiliza o padrão OAuth para autorizar aplicativos de terceiros - incluindo clientes desktop ou móveis da rede social - a interagir com as contas de usuários por meio de sua API, disse o Nicolas Seriot, desenvolvedor de aplicações móveis e gerente de projetos da Swissquote Bank na Suíça.
O microblog permite que aplicativos especifiquem uma URL de retorno personalizada, onde os usuários serão redirecionados após permitir que esses apps acessem suas contas por meio de uma página de autorização no site do Twitter.
Seriot encontrou uma forma de criar links especiais que, quando clicados pelos usuários, abrem as páginas de autorização para clientes populares como o TweetDeck. No entanto, essas solicitações especificam o servidor do cracker como URL de retorno, forçando os navegadores dos usuários a enviarem o token de acesso ao Twitter para o atacante.
O token de acesso permite que ações sejam realizadas na conta associada por meio da API do Twitter, sem a necessidade de uma senha. Um invasor pode usar esses tokens para postar novos tuites em nome dos usuários comprometidos, ler mensagens privadas, modificar o local exibido nos tuites, e mais.
A apresentação feita por Seriot essencialmente abordou as implicações de segurança ao permitir retornos personalizados e descreveu como o recurso pode ser usado para se passar por clientes legítimos e confiáveis da rede social, a fim de roubar os tokens de acesso ou sequestrar contas.
Um cracker pode enviar um e-mail com o link personalizado ao administrador de mídia social de uma empresa importante ou de uma companhia de notícias sugerindo, por exemplo, que tal link é para seguir alguém na rede.
Ao clicar no endereço, será exibida ao alvo uma página do Twitter protegida por SSL, solicitando autorização do TweetDeck, Twitter para iOS ou algum outro cliente popular, para permitir acesso à conta. Se a vítima já está usando o cliente apresentado, ela pode acreditar que a autorização anteriormente concedida expirou e é necessário autorizar novamente o aplicativo.
Clicar no botão "autorizar" forçaria o navegador do usuário a enviar o token de acesso ao servidor do atacante, que, então, redirecionaria o usuário para o site Twitter. O usuário não percebe qualquer sinal de algo ruim acontecendo, explicou Seriot.
Para realizar tal ataque e criar os links especiais, em primeiro lugar, o invasor precisa saber os tokens da API do Twitter para os aplicativos que ele pretende representar. Estes são geralmente codificados nas aplicações em si e podem ser extraídos de diversas maneiras, disse o especialista.
O desenvolvedor construiu uma biblioteca OAuth de código aberto para Mac OS X, que pode ser usada para interagir com a API do Twitter e gerar links de autorização com URLs de retorno maliciosas. No entanto, a biblioteca, que é chamada de STTwitter, foi desenvolvida para fins legítimos e pretende adicionar suporte do Twitter para Adium - um popular cliente de chat para Mac OS X.
De acordo com Seriot, a rede social poderia prevenir tais ataques ao desativar a funcionalidade de retorno de solicitação a partir de sua implementação OAuth. No entanto, ele não acredita que a empresa vá fazer isso, porque é tecnicamente um recurso legítimo que é usado por alguns clientes.
Ao clicar no endereço, será exibida ao alvo uma página do Twitter protegida por SSL, solicitando autorização do TweetDeck, Twitter para iOS ou algum outro cliente popular, para permitir acesso à conta. Se a vítima já está usando o cliente apresentado, ela pode acreditar que a autorização anteriormente concedida expirou e é necessário autorizar novamente o aplicativo.
Clicar no botão "autorizar" forçaria o navegador do usuário a enviar o token de acesso ao servidor do atacante, que, então, redirecionaria o usuário para o site Twitter. O usuário não percebe qualquer sinal de algo ruim acontecendo, explicou Seriot.
Para realizar tal ataque e criar os links especiais, em primeiro lugar, o invasor precisa saber os tokens da API do Twitter para os aplicativos que ele pretende representar. Estes são geralmente codificados nas aplicações em si e podem ser extraídos de diversas maneiras, disse o especialista.
O desenvolvedor construiu uma biblioteca OAuth de código aberto para Mac OS X, que pode ser usada para interagir com a API do Twitter e gerar links de autorização com URLs de retorno maliciosas. No entanto, a biblioteca, que é chamada de STTwitter, foi desenvolvida para fins legítimos e pretende adicionar suporte do Twitter para Adium - um popular cliente de chat para Mac OS X.
De acordo com Seriot, a rede social poderia prevenir tais ataques ao desativar a funcionalidade de retorno de solicitação a partir de sua implementação OAuth. No entanto, ele não acredita que a empresa vá fazer isso, porque é tecnicamente um recurso legítimo que é usado por alguns clientes.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário