Twitter-tabbe førte til ormeinvasjon

Twitter-tabbe førte til ormeinvasjon

Nettsamfunnet lappet feilen for en måned siden. Så gikk alt galt.

Twitter-hullet som skapte Twitter-kaos i går er nå rettet. Det var snakk om en krysskriptingfeil (såkalt XSS), ifølge Kaspersky Labs blogg.

I XSS får angriperen kjørt skript hentet fra en annen nettside, noe som egentlig ikke skal kunne skje om sikkerheten er satt opp riktig på nettstedet. Et slikt angrep kan potensielt brukes til å stjele informasjon eller kjøre skadelig kode på ofrenes maskiner, men er likevel blant de vanligste sikkerhetsfeilene på nettsider.

En av metodene som utnyttet feilen på Twitter i går, var Javascript-funksjonen "onmouseover" - der lenken automatisk ble spredt videre bare brukeren svever musepekeren over, altså uten å klikke. Avarter av denne viste også at det ikke var behov for noen brukerinteraksjon overhodet for å få ofrenes datamaskiner til å følge lenkene, skriver Computerworlds nyhetstjeneste.

Med andre ord perfekte forhold for å skape en Twitter-orm som automatisk sprer seg videre til folk som besøker infiserte Twitter-profiler. Resultatet ble at to ting kjapt spredte seg på nettet i går: Det ene var informasjonen om at twitter hadde en XSS-feil – som igjen førte til ulike varianter av XSS-genererte Twitter-beskjeder.

Profilerte folk truffet

Enkelte demonstrerte hullet via skript som forårsaket at uskyldige tekstbokser dukket opp. Andre fant at hullet kunne brukes til mer alvorlige ting, som tyveri av cookies, en informasjonskapsel nettsteder lagrer på datamaskinen din eksempelvis for å huske hvem du er og om du er logget inn.

Sågar Computerworld testet fenomenet og spredte en norsk, relativt uskyldig variant av ormen, skapt av brukeren @judofyr. Da var det nok verre for Sarah Brown, kona til den tidligere britiske statsministeren Gordon Brown, som på uheldigvis spredte en pornografisk versjon av ormen til sine 1,2 millioner følgere. Også pressesekretær Robert Gibs i amerikanske White House fikk smake ormen.

Men Twitter fikk omsider tettet hullet. ”Vi har identifisert og lapper et XSS-angrep”, skrev Twitter i løpet av gårsdagen, og anbefalte folk samtidig å henvende seg til @safety om de skulle komme over sårbarheter hos nettsamfunnet.

Tabbe

Men før de rakk å tette hullet estimerer seniorforsker hos sikkerhetsleverandøren Sophos, Beth Jones, at hundretusener av brukere trolig rakk å bli infisert, ifølge Computerworlds nyhetstjeneste.

Alt kunne vært unngått, ifølge Twitter selv.

- Vi oppdaget og lappet dette hullet forrige måned. Men en nylig oppdatering av siden – ikke relatert til lanseringen av nye Twitter – fikk det til å dukke opp igjen uten at vi visste om det, skriver Twitter i sin blogg.

Ormen skal angivelig ha vært offentlig viten siden 23. august, da den ble lappet i åpen kildekode-biblioteket Twitter bruker til å prosessere tekst.

The Guardian hevder det var den japanske hackeren Masato Kinugawa som oppdaget feilen denne gang. Han hadde sendt Twitter beskjeder om feilen i flere dager, men bestemte seg for å teste den ut med XSS-kode på tirsdag. Hans variant gjorde om på fargen til tekst, og ble kjapt kopiert av mange andre. Norske @judofyr har fått æren for å skape en orm av det hele.

- Majoriteten av utnyttelser relatert til denne hendelsen faller under spøk eller promoterings-kategorien, understreker Twitter i bloggen, som legger til at brukere fortsatt vil kunne se snodige beskjeder på nettsamfunnet.

Sosiale Medier