La fonctionnalité OAuth de Twitter peut être utilisée pour détourner des comptes,

une fonctionnalité de l'API Twitter (programmation d'applications). interface) peut être abusé par des attaquants pour lancer des attaques d'ingénierie sociale crédibles qui leur donneraient une forte chance de détourner des comptes d'utilisateurs, a révélé mercredi un développeur d'applications mobiles lors de la conférence de sécurité Hack in the Box à Amsterdam. comment Twitter utilise la norme OAuth pour autoriser des applications tierces, y compris des clients Twitter de bureau ou mobiles, à interagir avec des comptes d'utilisateurs via son API, Nicolas Seriot, un mob

Twitter permet aux applications de spécifier une URL de rappel personnalisée dans laquelle les utilisateurs seront redirigés après avoir accordé à ces applications l'accès à leurs comptes via une page d'autorisation sur le site de Twitter.

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

Seriot a trouvé un moyen de créer des liens spéciaux qui, une fois cliqués par les utilisateurs, ouvriront des pages d'autorisation d'application Twitter pour des clients populaires comme TweetDeck. Cependant, ces requêtes spécifieraient le serveur de l'attaquant comme URL de rappel, forçant les navigateurs des utilisateurs à envoyer leurs jetons d'accès Twitter à l'attaquant.

Le jeton d'accès permet d'effectuer des actions avec le compte associé via l'API Twitter sans avoir besoin de Un mot de passe. Un attaquant pourrait utiliser de tels jetons pour publier de nouveaux tweets au nom des utilisateurs compromis, lire leurs messages privés, modifier l'emplacement affiché dans leurs tweets, etc.

La présentation couvrait essentiellement les implications de sécurité de l'utilisation de rappels personnalisés. Selon Seriot, un attaquant pourrait envoyer un e-mail avec un tel lien au gestionnaire de médias sociaux d'une entreprise importante. ou une organisation de nouvelles suggérant, par exemple, que c'est un lien pour suivre quelqu'un sur Twitter.

En cliquant sur le lien, la cible verrait une page Twitter protégée par SSL lui demandant d'autoriser TweetDeck, Twitter pour iOS, ou autre client Twitter populaire, pour accéder à son compte. Si la cible utilise déjà le client usurpé, il peut croire que l'autorisation précédemment accordée a expiré et qu'elle doit autoriser à nouveau l'application.

Cliquer sur le bouton "autoriser" forcerait le navigateur de l'utilisateur à envoyer le jeton d'accès Le serveur de l'attaquant redirigera alors l'utilisateur vers le site Twitter.

souhaite se faire passer pour

Le développeur a construit une bibliothèque OAuth open-source pour Mac OS X qui peut être utilisée pour interagir avec l'API Twitter et générer des liens d'autorisation avec URL de rappel frauduleuses. Cependant, la bibliothèque, appelée STTwitter, a été conçue à des fins légitimes et vise à ajouter le support de Twitter à Adium, un client de chat multi-protocole populaire pour Mac OS X.

Selon Seriot, Twitter pourrait empêcher de telles attaques désactivation de la fonctionnalité de rappel de son implémentation OAuth. Cependant, il ne croit pas que la société va le faire, car c'est techniquement une fonctionnalité légitime qui est utilisée par certains clients.

Twitter n'a pas immédiatement répondu à une demande de commentaire envoyée jeudi.