Fitur Twitter OAuth dapat disalahgunakan untuk membajak akun, kata peneliti

Fitur di Twitter API (pemrograman aplikasi antarmuka) dapat disalahgunakan oleh penyerang untuk meluncurkan serangan rekayasa sosial yang kredibel yang akan memberi mereka kesempatan tinggi untuk membajak akun pengguna, pengembang aplikasi seluler terungkap pada hari Rabu di konferensi keamanan Hack in the Box di Amsterdam.

Masalahnya harus dilakukan dengan cara Twitter menggunakan standar OAuth untuk mengotorisasi aplikasi pihak ketiga, termasuk klien Twitter desktop atau seluler, untuk berinteraksi dengan akun pengguna melalui API-nya, Nicolas Seriot, mafia ile pengembang aplikasi dan manajer proyek di Swissquote Bank di Swiss, mengatakan Kamis.

Twitter memungkinkan aplikasi untuk menentukan URL panggilan balik khusus di mana pengguna akan diarahkan setelah memberikan akses aplikasi tersebut ke akun mereka melalui halaman otorisasi di situs Twitter.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Seriot menemukan cara untuk membuat tautan khusus yang, ketika diklik oleh pengguna, akan membuka halaman otorisasi aplikasi Twitter untuk klien populer seperti TweetDeck. Namun, permintaan tersebut akan menentukan server penyerang sebagai URL panggilan balik, memaksa browser pengguna untuk mengirim token akses Twitter mereka kepada penyerang.

Token akses memungkinkan tindakan dilakukan dengan akun terkait melalui API Twitter tanpa perlu sebuah kata sandi. Seorang penyerang dapat menggunakan token seperti itu untuk memposting tweet baru atas nama pengguna yang disusupi, membaca pesan pribadi mereka, mengubah lokasi yang ditampilkan dalam tweet mereka, dan banyak lagi.

Presentasi pada dasarnya meliputi implikasi keamanan yang memungkinkan callback khusus dan mendeskripsikan metode menggunakan fitur ini untuk menyamar sebagai klien Twitter yang sah dan tepercaya untuk mencuri token akses pengguna dan membajak akun, kata Seriot.

Seorang penyerang dapat mengirim email dengan tautan yang dibuat seperti itu ke manajer media sosial dari perusahaan penting atau organisasi berita yang menyarankan, misalnya, bahwa itu adalah tautan untuk mengikuti seseorang di Twitter.

Ketika mengeklik tautan, target akan melihat halaman Twitter yang dilindungi SSL yang memintanya untuk mengotorisasi TweetDeck, Twitter untuk iOS, atau beberapa lainnya klien Twitter populer, untuk mengakses akunnya. Jika target sudah menggunakan klien yang ditiru, dia mungkin percaya bahwa otorisasi yang diberikan sebelumnya telah kedaluwarsa dan mereka perlu mengotorisasi ulang aplikasi.

Mengklik tombol "otorisasi" akan memaksa browser pengguna untuk mengirim token akses ke server penyerang, yang kemudian akan mengarahkan pengguna kembali ke situs web Twitter. Pengguna tidak akan melihat tanda-tanda sesuatu yang buruk terjadi, kata Seriot.

Untuk melakukan serangan semacam itu dan membuat tautan khusus di tempat pertama, penyerang perlu mengetahui token API Twitter untuk aplikasi yang ia gunakan. ingin meniru. Ini umumnya hardcoded dalam aplikasi itu sendiri dan dapat diekstrak dengan beberapa cara, kata Seriot.

Pengembang membangun perpustakaan OAuth open-source untuk Mac OS X yang dapat digunakan untuk berinteraksi dengan Twitter API dan menghasilkan tautan otorisasi dengan URL panggilan balik jahat. Namun, perpustakaan, yang disebut STTwitter, dibangun untuk tujuan yang sah dan dimaksudkan untuk menambahkan dukungan Twitter ke Adium, klien obrolan multi-protokol yang populer untuk Mac OS X.

Menurut Seriot, Twitter dapat mencegah serangan semacam itu oleh menonaktifkan fungsi callback dari implementasi OAuth-nya. Namun, dia tidak percaya bahwa perusahaan akan melakukan ini, karena secara teknis ini adalah fitur sah yang digunakan oleh beberapa klien.

Twitter tidak segera menanggapi permintaan untuk komentar yang dikirim Kamis.