THEMEN

Uebergriffe auf Twitter via OAuth Anmeldung moeglich
Veröffentlicht am Donnerstag, 05.November 2009 von Redaktion


Nachdem die Betreiber von dem beliebten sozialen Netzwerk Twitter einen Nutzer ihrer Plattform warnten, dass sein Twitter-Passwort eventuell kompromittiert worden sei, ändert dieser zum Schutz seines Accounts, sein Passwort. Durch die von ihm vorgenommen Passwortänderung dachte er, dass sein Account wieder sicher vor unerlaubten Zugriff sei. Was viele Internet Nutzer nicht wissen, es gibt auch oft noch die Form der so genannten OAuth Anmeldung.



Durch eine so genannte der OAuth-Anmeldung wird Diensten von Drittanbietern der Zugang zum Beispiel zu einem Account bei Twitter erlaubt. Das ist auch möglich ohne dass der Account Inhaber sein Passwort dem Drittanbieter verrät. Es genügt bereits, dass einmal bei Twitter bestätigt wird, dass die App XYZ berechtigt sei auf das Twitter-Profil zuzugreifen.

Bis Dato kann man auch nicht durch Passwortänderung eine derartige Erlaubnis Rückgängig machen bzw.abwehren. Hat ein potentieller Angreifer einmal so Besitz eines fremden Passwortes erlangt, kann er auch wenn der Account Inhaber sein Passwort ändert, zum Beispiel den Dienst My-Backdoor autorisieren. Das heißt, dass Twitter My-Backdoor ein OAuth-Token serviert, mit dem es sich in der Zukunft zu dem sozialen Netzwerk Zugang verschaffen kann.

Auch wenn der rechtmäßige Account Inhaber sein Passwort geändert hat, behält dieses Token seine Gültigkeit. Potentielle Angreifer sind somit auch nach Passwort Änderung in der Lage den My-Backdoor Dienst auf Twitter zu kontrollieren und haben somit auch nach wie vor uneingeschränkten Zugang zu fremden Twitter-Accounts. Um seine Nutzer vor derartigen Übergriffen zu schützen müßten die Betreiber von Twitter ihnen die Möglichkeit geben die OAuth-Tokens zu widerrufen.

Yahoo zu Beispiel bietet seinen Nutzern diese Möglichkeit des Widerrufs an. Da Twitter seinen Nutzern bis Dato diese Möglichkeit des Widerrufs noch nicht anbietet, sollten Twitter-Nutzer, um sich vor unerwünschten Übergriffen zu schützen, per Hand alle autorisierten Verbindungen entfernen. Eine Passwortänderung bringt nur dann mehr Sicherheit, wenn auch alle eventuellen Hintertürchen geschlossen sind.






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Norman
Norton Anti Virus Protection