|
Wurminfektion durch Twitter API
Veröffentlicht am Freitag, 29.Mai 2009 von Redaktion
Sicherheitsfachleute haben eine Lücke bei Twitter entdeckt, durch die es Onlinekriminellen gelingen könnte Würmer einzuschleusen um sie zu verbreiten. Die Twitter-API ermöglicht dem Nutzer Konfiguration, Verwaltung und Statusabfrage des eigenen Kontos mittels HTTP-Requests.
Die Antwort, die er bekommt ist dann ein Dokument im XML- oder JSON-Format. Twitter Nutzer wissen, dass auch der Twitter-Bilderdienst twitpic.com von der API immer wieder Gebrauch macht um z.B. das gespeicherte Profil eines Twitternutzers abzufragen bzw. zu importieren.
Sicherheitsfachleute haben nun herausgefunden, dass Twitpic bis jetzt keine HTML-Tags aus dem Original-Twitter-Profil heraus filtert. Somit besteht die Möglichkeit, dass sich darüber auf Twitpic Profile mit JavaScript speichern lassen. Twitter selber filtert die Tags beim Aufruf eines Profils heraus. Von Twitpic wird das Profil mit dem Code ausgeliefert, der dann im Browser eines anderen Besuchers ausgeführt sprich sichtbar wird.
So besteht nicht nur die Möglichkeit fremde twitpic-Konten ausspähen. Es ist dann ohne weiteres möglich den Code von angemeldeten Twitpic-Nutzern zu nutzen um über die Twitter-API einen Tweet, wie Kommentare bei Twitter genannt werden, mit dem Link zum Bild zu senden. Durch diese Lücke soll es möglich sein einen Wurm ein zu schleusen um ihn auf Twitter zu verbreiten.
Diese Lücke soll inzwischen zwar geschlossen sein, aber da Social Networks wie Twitter immer beliebter werden schliessen Experten nicht aus, dass Onlinekriminelle hier immer wieder nach Schwachstellen suchen und vermutlich auch immer wieder fündig werden um hier ihr Unwesen zu treiben.
Thx an Heise
letzten News
DSGVO Besonnenheit statt Panik
Schaedlinge im Netz So wird trotzdem sicher gesurft
Gefahren aus dem Internet erkennen und vorbeugen
Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
Kommentar:
|
| |
|