Twitter OAuth 기능으로 계정을 도용 할 수 있다고 연구원은 말합니다.

Twitter API의 기능 인터페이스)은 공격자가 악의적 인 사회 공학 공격을 시도하여 사용자 계정을 도용 할 가능성이 높은 것으로 나타났습니다. 모바일 응용 프로그램 개발자는 수요일 암스테르담의 Hack in the Box 보안 컨퍼런스에서이를 공개했습니다.

Twitter에서 OAuth 표준을 사용하여 데스크톱 또는 모바일 Twitter 클라이언트를 포함한 타사 앱에 API, Nicolas Seriot, mob를 통해 사용자 계정과 상호 작용하는 방법

트위터 사이트의 승인 페이지를 통해 앱에 계정 액세스 권한을 부여한 후 사용자가 리디렉션되는 사용자 정의 콜백 URL을 지정할 수 있도록 허용했습니다.

> [추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

Seriot은 사용자가 클릭하면 TweetDeck과 같은 인기있는 클라이언트의 Twitter 앱 인증 페이지를 열 수있는 특수 링크를 만드는 방법을 발견했습니다. 그러나 이러한 요청은 공격자의 서버를 콜백 URL로 지정하여 사용자의 브라우저가 트위터 액세스 토큰을 공격자에게 보내도록합니다.

액세스 토큰을 사용하면 Twitter API를 통해 관련 계정으로 작업을 수행 할 수 있습니다 암호. 공격자는 그러한 토큰을 사용하여 손상된 사용자를 대신하여 새로운 트윗을 게시하고, 비공개 메시지를 읽고, 트윗에 표시된 위치를 수정하는 등의 작업을 할 수 있습니다.

프레젠테이션은 기본적으로 사용자 정의 콜백을 허용하는 보안상의 영향을 다루고 이 기능을 사용하여 합법적이고 신뢰할 수있는 트위터 클라이언트로 가장하여 사용자 액세스 토큰을 도용하고 계정을 도용한다고 Seriot은 말했습니다.

공격자는 중요한 회사의 소셜 미디어 관리자에게 이러한 링크가 포함 된 전자 메일을 보낼 수 있습니다 또는 뉴스 조직은 예를 들어 트위터에서 누군가를 따라 가기위한 링크라고 제안합니다.

링크를 클릭하면 대상에 SSL로 보호 된 트위터 페이지가 표시되어 TweetDeck, iOS 용 트위터 또는 기타 인기있는 트위터 클라이언트가 자신의 계정에 액세스합니다. 대상이 이미 가장 된 클라이언트를 사용하고 있다면 이전에 부여한 승인이 만료되어 앱을 다시 인증해야한다고 생각할 수 있습니다.

'인증'버튼을 클릭하면 사용자 브라우저가 공격자의 서버는 사용자를 트위터 웹 사이트로 리디렉션합니다. 사용자는 악의적 인 일이 발생하지 않았 음을 알게 될 것이라고 Seriot은 말했다.

이러한 공격을 수행하고 특별한 링크를 만들려면 공격자는 Twitter API 토큰을 알고 있어야한다. 가장하려고합니다. 이들은 일반적으로 응용 프로그램 자체에서 하드 코딩되어 여러 가지 방법으로 추출 될 수 있다고 Seriot은 말했습니다.

개발자는 Mac OS X 용 오픈 소스 OAuth 라이브러리를 제작했습니다.이 라이브러리는 Twitter API와 상호 작용하고 인증 링크를 생성하는 데 사용할 수 있습니다. 악의적 인 콜백 URL 그러나 STTwitter라고 불리는이 라이브러리는 합법적 인 목적으로 제작되었으며 Mac OS X 용 멀티 프로토콜 채팅 클라이언트 인 Adium에 트위터 지원을 추가하기위한 것입니다.

Seriot에 따르면 Twitter는 이러한 공격을 OAuth 구현에서 콜백 기능을 비활성화합니다. 그러나 일부 고객이 기술적으로 사용하는 합법적 인 기능이기 때문에 회사가이를 수행 할 것이라고는 믿지 않는다.

트위터는 목요일에 보낸 요청에 즉시 응답하지 않았다.