Schwachstelle in der API

Twitter: Sicherheitslücke erlaubt Aussendung von Tweets unter fremden Namen

Die API von Twitter weist eine Schwachstelle auf, die es Angreifern erlaubt im Namen des angemeldeten Twitter-Nutzers Tweets zu versenden oder Benutzer auf beliebige Das Opfer muss dazu lediglich einen Tweet anschauen.

Im letzten Monat hat der Sicherheitsforscher Aviv Raff einen Monat der Twitter-Bugs veranstaltet, indem er täglich eine Sicherheitslücke in Anwendungen offen gelegt hat, die die Twitter-API (Programmierschnittstelle) benutzen. Jetzt hat der Software-Entwickler James Slater eine Schwachstelle in der Twitter-API selbst bekannt gemacht, die zu schließen den Twitter-Programmierern noch nicht gelungen ist. Der Fehler lässt sich ausnutzen, um Script-Code, der in einen Tweet eingebettet wird, im Browser jedes Benutzers auszuführen, der den Tweet anschaut. Der Schwachpunkt ist ein Feld, das für den Namen der Anwendung reserviert ist, mit der ein Tweet erstellt wird. In diesem Feld könnten Angreifer einen Aufruf eines externen Scripts unterbringen. Während sich Twitter an vielen Stellen erfolgreich darum bemüht hat, solche so genannten XSS-Lücken (Cross-Site Scripting) zu vermeiden, hat man diese wohl übersehen.

Der Fehler ermöglicht es einem Angreifer im Namen des angemeldeten Twitter-Nutzers Tweets zu versenden, Cookies auszulesen oder Benutzer auf beliebige andere Website umzuleiten. Kurz gesagt: das Script kann alles machen, was der Browser per Javascript ermöglicht. Angreifer müssten lediglich eine kleine Anwendung programmieren (oder eine quelloffene etwas modifizieren), um derart präparierte Tweets aussenden zu können.

Slater hatte die Sicherheitslücke am Dienstag an Twitter gemeldet. Twitter behauptete wenig später den Fehler behoben zu haben. Doch am Mittwoch hat sich Slater erneut zu Wort gemeldet und meinte, dies sei nicht der Fall. Twitter habe lediglich eine der Möglichkeiten beseitigt die Schwachstelle auszunutzen. Außerdem hat Twitter zweimal die Benutzerkonten von James Slater gelöscht, mit denen er die Sicherheitslücke demonstriert hat. Soweit bislang bekannt, existiert diese Schwachstelle also weiterhin in Twitter. Wer Twitter mit dem Browser nutzt, sollte sicher stellen, dass Javascript ausgeschaltet ist. Für Firefox bietet sich dafür die Erweiterung Noscript an. (PC Welt/mje)