Twitter kan angripe brukerne

Twitter kan angripe brukerne

Bare ved å se en melding på Twitter kan ondsinnet kode kjøres.

Utvikleren James Slater jobber i et selskap kalt David Taylor, som spesialiserer seg på søkemotor-optimalisering i Storbritania.

Og Slater har nå funnet et stygt sikkerhetshull i Twitter, som tillater såkalt "cross-site scripting".

Usikker API

Det finnes mange tredjeparts applikasjoner som lar en bruke Twitter-tjenesten uten å være inne på selve Twitter.com.

Når meldinger fra slike applikasjoner dukker opp på Twitter, avsluttes de med en liten setning som forteller hvilken applikasjon meldingen kommer fra, og en lenke til denne.

I API-feltet hvor man fyller ut hvor denne lenken skal føre brukeren, kan man skrive hva som helst, ifølge Taylor. Også HTML-kode og Javascript.

Dermed kan man kjøre kode i nettleseren uten at brukeren vet det, bare ved at Twitter-brukeren ser en bestemt Twitter-melding med denne lenketeksten. Han trenger med andre ord ikke trykke på noe som helst for at bakmenn kan kjøre ondsinnet kode.

Det hele er demonstrert i videoen nederst i artikkelen. Twitter-brukerne han skapte for å demonstrere teknikken har alle blitt slettet av tjenesten, så man kan nå desverre ikke se det hele selv i sin egen nettleser.

Ond kode

- Twitter har gjort en av de mest grunnleggende tabbene når man utvikler nettapplikasjoner. Man bør aldri stole på data som legges inn utenfra! skriver Slater på sin blogg.

Han synes det er spesielt skremmende at man bare trenger å se meldingene for å bli angrepet. Om du følger en bruker som bestemmer seg for å utnytte svakheten, er det dermed nærmest umulig å slippe unna angrepet om du går inn på Twitter.

- Kanskje koden sender deg til en pornografisk nettside? Eller sletter alle dine Twitter-meldinger? Eller sender en beskjed til alle vennene dine? Eller enda verre, kanskje den sender innloggingsdetaljene til en annen nettside slik at andre kan bruke kontoen din? spekulerer Slater.

- Alt dette, bare ved å se en Twitter-melding.

Være forsiktig

Twitter har siden Slater kunngjorde svakheten sagt at de har rettet opp hullet. Men ifølge utvikleren var alt de gjorde å nekte utviklere å skrive inn mellomrom i feltet det snakkes om.

Dette holder ikke, og Slater er skuffet. Han oppfordrer derfor nå folk om å være forsiktig.

Det er allerede mye søppel på Twitter, og dette hullet gjør slike brukere enda farligere. Man bør derfor unngå å følge folk du ikke vet hvem er, og ikke følge dem bare fordi de følger deg.

Det skal også være tryggere å bruke andre Twitter-klienter enn selve Twitter.com, da ikke alle viser den aktuelle lenken nederst på Twitter-meldingene.

- Jeg tror jeg skal holde meg unna Twitter for noen dager! avslutter Slater.

Twitter har ikke svart på forespursler fra vår internasjonale nyhetstjeneste.

Her ser du demonstrasjonen av hullet:

Les om: