THEMEN

Wurminfektion durch Twitter API
Veröffentlicht am Freitag, 29.Mai 2009 von Redaktion


Sicherheitsfachleute haben eine Lücke bei Twitter entdeckt, durch die es Onlinekriminellen gelingen könnte Würmer einzuschleusen um sie zu verbreiten. Die Twitter-API ermöglicht dem Nutzer Konfiguration, Verwaltung und Statusabfrage des eigenen Kontos mittels HTTP-Requests.



Die Antwort, die er bekommt ist dann ein Dokument im XML- oder JSON-Format. Twitter Nutzer wissen, dass auch der Twitter-Bilderdienst twitpic.com von der API immer wieder Gebrauch macht um z.B. das gespeicherte Profil eines Twitternutzers abzufragen bzw. zu importieren.

Sicherheitsfachleute haben nun herausgefunden, dass Twitpic bis jetzt keine HTML-Tags aus dem Original-Twitter-Profil heraus filtert. Somit besteht die Möglichkeit, dass sich darüber auf Twitpic Profile mit JavaScript speichern lassen. Twitter selber filtert die Tags beim Aufruf eines Profils heraus. Von Twitpic wird das Profil mit dem Code ausgeliefert, der dann im Browser eines anderen Besuchers ausgeführt sprich sichtbar wird.

So besteht nicht nur die Möglichkeit fremde twitpic-Konten ausspähen. Es ist dann ohne weiteres möglich den Code von angemeldeten Twitpic-Nutzern zu nutzen um über die Twitter-API einen Tweet, wie Kommentare bei Twitter genannt werden, mit dem Link zum Bild zu senden. Durch diese Lücke soll es möglich sein einen Wurm ein zu schleusen um ihn auf Twitter zu verbreiten.

Diese Lücke soll inzwischen zwar geschlossen sein, aber da Social Networks wie Twitter immer beliebter werden schliessen Experten nicht aus, dass Onlinekriminelle hier immer wieder nach Schwachstellen suchen und vermutlich auch immer wieder fündig werden um hier ihr Unwesen zu treiben.

Thx an Heise






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Symantec Norton Anti Virus
Online Backup