يمكن إساءة استخدام ميزة OAuth في Twitter لاختطاف الحسابات ، كما يقول الباحث

ميزة في واجهة برمجة تطبيقات Twitter (برمجة التطبيقات) ، حيث تعرض المعتدون للإساءة لهجمات هندسية اجتماعية ذات مصداقية من شأنها أن تمنحهم فرصة كبيرة لاختطاف حسابات المستخدمين. يمكن أن يساء استخدامها من قبل المهاجمين لإطلاق هجمات ذات مصداقية للهندسة الاجتماعية التي من شأنها أن تمنحهم فرصة كبيرة لاختطاف حسابات المستخدمين ، كما كشف مطور تطبيقات الهاتف المحمول يوم الأربعاء في مؤتمر الأمن في هاك في بوكس ​​في أمستردام.

مع كيفية استخدام تويتر لمعيار OAuth لتفويض تطبيقات الطرف الثالث ، بما في ذلك عملاء تويتر على سطح المكتب أو الجوّال ، للتفاعل مع حسابات المستخدمين من خلال واجهة برمجة التطبيقات ، نيكولاس سيريوت ، قال مدير مطوري التطبيقات ومدير المشروع في سويسكوت بنك في سويسرا يوم الخميس.

يسمح تويتر للتطبيقات بتحديد عنوان URL مخصص للمعاودة حيث سيتم إعادة توجيه المستخدمين بعد منحهم تلك التطبيقات حق الوصول إلى حساباتهم من خلال صفحة تفويض على موقع Twitter.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

وجد Seriot طريقة لإنشاء روابط خاصة ، عند النقر عليها من قِبل المستخدمين ، سيفتح صفحات ترخيص تطبيق Twitter للعملاء المشهورين مثل TweetDeck. ومع ذلك ، ستحدد هذه الطلبات خادم المهاجم على أنه عناوين URL معاودة الاتصال ، مما يجبر متصفحات المستخدمين على إرسال رموز الدخول إلى Twitter إلى المهاجم.

يسمح الرمز المميز للوصول إلى الإجراءات التي يتعين تنفيذها مع الحساب المرتبط من خلال واجهة برمجة تطبيقات Twitter دون الحاجة إلى كلمة السر. يمكن للمهاجم استخدام مثل هذه الرموز المميزة لنشر تغريدات جديدة نيابة عن المستخدمين المخترقين ، وقراءة رسائلهم الخاصة ، وتعديل الموقع المعروض في تغريداتهم ، وأكثر من ذلك.

غطى العرض التقديمي بشكل أساسي الآثار الأمنية المترتبة على السماح بإعادة الاتصال المخصصة ووصف طريقة استخدام هذه الميزة للتخفي كعملاء تويتر شرعيين وموثوقين من أجل سرقة رموز وصول المستخدمين وحسابات الخطف.

يمكن للمهاجم إرسال بريد إلكتروني مع مثل هذا الرابط وضعت لمدير وسائل الاعلام الاجتماعية لشركة مهمة أو منظمة الأخبار التي تقترح ، على سبيل المثال ، أنه رابط لمتابعة شخص ما على Twitter.

عند النقر على الرابط ، سيشاهد الهدف صفحة Twitter محمية بواسطة SSL تطالبه بتفويض TwitterDeck أو Twitter لنظام iOS أو بعض عميل Twitter شهير ، للوصول إلى حسابه. إذا كان الهدف يستخدم بالفعل عميل تم انتحاله ، فقد يعتقد أن التفويض الممنوح سابقًا قد انتهت صلاحيته ويحتاج إلى إعادة اعتماد التطبيق.

يؤدي النقر فوق زر "تخويل" إلى إجبار متصفح المستخدم على إرسال الرمز المميز للوصول إلى التطبيق. خادم المهاجم ، الذي سيعيد توجيه المستخدم إلى موقع Twitter على الويب. وقال سيريوت إن المستخدم لن يرى أي علامة على حدوث شيء سيئ.

من أجل القيام بمثل هذا الهجوم وصياغة الروابط الخاصة في المقام الأول ، سيحتاج المهاجم إلى معرفة الرموز المميزة لتويتر API للتطبيقات التي يقوم بها. يرغب في انتحال شخصية. هذه هي بشكل عام ضمنية في التطبيقات نفسها ويمكن استخراجها بعدة طرق ، حسبما قال سيريوت.

قام المطور ببناء مكتبة OAuth مفتوحة المصدر لنظام التشغيل Mac OS X والتي يمكن استخدامها للتفاعل مع واجهة برمجة تطبيقات Twitter وإنشاء روابط التفويض مع عناوين URL المكررة للاتصال. ومع ذلك ، فقد تم بناء المكتبة ، التي تسمى STTwitter ، لأغراض مشروعة ويهدف إلى إضافة دعم Twitter إلى Adium ، وهو برنامج دردشة شهير متعدد البروتوكولات لـ Mac OS X.

وفقاً لسيريوت ، يمكن أن يمنع Twitter مثل هذه الهجمات تعطيل وظيفة معاودة الاتصال من تطبيق OAuth الخاص بها. ومع ذلك ، فهو لا يعتقد أن الشركة ستفعل ذلك ، لأنها من الناحية الفنية ميزة مشروعة يستخدمها بعض العملاء.

Twitter لم يرد على الفور على طلب التعليق الذي تم إرساله يوم الخميس.