mannaz | das seelenheil ist irgendwo da draußen

in twitter — nee, durch twitter ist ein sogenanntes clickjacking gewandert. und schnell wieder beseitigt worden.

ich selbst bin vorhin auch darüber gestolpert und es kam mir dann von anfang an spanisch vor.

worum geht’s?

irgendwann tauchte bei einem follower ein tweet auf:

“Don’t click [tinyurl]“^[1]

im grunde sollte mensch diesen tweet tatsächlich ernst nehmen, denn es passierte folgendes:

hat der twitterer — im eingeloggten zustand — auf den link geklickt, öffnete sich eine spartanisch eingerichtete seite.

zu sehen war ein knöpfchen mit selbiger aufschrift: “Don’t Click!”

sowie ein paar leere zeilen und ein paar punkten zwischendrin.

wer jetzt auf den knopf gedrückt hatte, durfte sich “freuen” … damit wurde ungefragt und unbemerkt ein tweet abgesetzt. optisch passierte nix weiter. nur beim neuladen in twitter sah mensch das ergebnis.

interessant dabei war: dies funktionierte bei mir nur mit dem opera! denn der firefox war wirklich nett und hat mich auf eine XSS-attacke^[2] hingewiesen.^[3]

twitter selbst hat dabei bemerkenswert schnell reagiert, wie ich finde. es hat nur stunden gedauert, bis das gefixt wurde.

(meldung auf dem twitter-blog)

das ganze nennt sich, der arbeitsweise entsprechend, clickjacking und ist dem allgemein bekannten hijacking verwandt.

wie kann so etwas passieren?

mal ganz salopp und einfach erklärt: hier spielen zwei dinge eine rolle.

1) dein browser hat mitschuld! wer einen benutzt, der nicht solch ein sicherheitsfeature hat wie der aktuelle firefox, ist selbst schuld. darum, auf aktualisierungen und die sicherheit achten. meine mobile opera-version ist jedenfalls nicht mehr so vertrauenswürdig.

2) mangelnde oder gar nicht existierende sicherheitsmechanismen auf der betroffenen seite. bei twitter vermute ich einfach mal, dass da jemand eine lücke in der API gefunden hat, die prima das absetzen eines tweets bei eingeloggten usern erlaubte. die genaue funktionsweise kann und will ich gar nicht weiter erklären.^[4][5]

wer gar nicht eingeloggt war oder gar keinen twitter-account besaß, war ohnehin nicht betroffen. denn wohin sollte das script schon twittern, wenn kein ziel da ist.

das fazit daraus ist ebenfalls zweigeteilt: für surfer im www bedeutet es, stets nach einem sicheren browser ausschau zu halten. firefox schien jedenfalls gut gerüstet zu sein.^[3] auf der anderen seite sind die dienstebetreiber gefordert, solche angriffe erst gar nicht zu ermöglichen, in dem die jeweilige anwendung — wie zB twitter — ebenso sicher und zuverlässig programmiert wird.

da sicherheitslücken nicht zwangsläufig immer von anfang an da sein müssen, ist zudem ein gutes reaktionsvermögen gefordert, besonders auf der entwicklerseite, da der gemeine benutzer immer erst einmal als saudumm und naiv eingestuft werden muss!

schlussbemerkung:

wenn schon irgendwo steht, dass mensch doch nicht darauf klicken solle, dann tue dies auch nicht!

DON’T CLICK!

Tags: clickjacking, dont-click, exploit, hijacking, sicherheitslücke, twitter

1. zur sicherheit kein link; wäre aber bereits durch twitter gefixt [↩]
2. cross-site-scripting, zu deutsch also seitenübergreifende skript-ausführung [↩]
3. UPDATE/HINWEIS! ich wurde durch ein ein firefox-plugin geschützt, nicht durch den browser selbst! das plugin nennt sich No Script und wehrt die angriffe sogar ab (bzw. warnt den benutzer), selbst wenn mensch das blockieren von javascript deaktiviert hat. [↩] [↩]
4. wer eine gute exploit-seite kennt, in der auch dieser hack technisch gut erklärt wird: her damit! [↩]
5. eine englische erklärung zum hack. [↩]