Hintertür bei Twitter schließen

Terence Eden änderte kürzlich sein Twitter-Passwort, weil ihn der Dienstbetreiber warnte, dass es  möglicherweise kompromittiert worden sei. Doch nachdem er damit sozusagen das Schloss der Eingangstür getauscht hatte, stellte er fest, dass der Dienstbotenzugang in Form der OAuth-Anmeldung nach wie vor sperrangelweit offen stand.

Die Applikation hat unbeschränkten Zugriff auf den Twitter-Account. OAuth ist ein Verfahren, das es erlaubt, Diensten von Drittanbietern Zugang zu einem Account etwa bei Twitter  zu gewähren, ohne dass man dem Drittanbieter sein Passwort anvertrauen muss. Dazu muss man lediglich einmal bei Twitter bestätigen, dass die App XYZ auf das Twitter-Profil zugreifen darf. Dummerweise gilt diese Erlaubnis ohne jegliche Einschränkung – auch nach einer Passwort-Änderung.

Das bedeutet, dass ein Angreifer, der einmal im Besitz des Passworts ist, etwa den Dienst My-Backdoor autorisieren kann. Damit überreicht Twitter My-Backdoor ein OAuth-Token, mit dem es künftig Zugang zum Twitter-Zugang erhalten kann. Dieses Token bleibt gültig, auch nachdem der legitime Besitzer des Accounts sein Passwort geändert hat. Der vom Angreifer kontrollierte Dienst My-Backdoor hat nach wie vor unbeschränkten Zugang zum Twitter-Account.

Yahoo bietet eine "Auto-Revocation" der autorisierten Dienste an. Um dieses Problem zu lösen, müsste Twitter bei einer Passwort-Änderung zumindest die Möglichkeit bieten, auch die OAuth-Tokens zu widerrufen, wie es beispielsweise Yahoo macht. Bis Twitter eine ähnliche Option einführt, sollten Twitter-Nutzer im Zweifelsfall selbst von Hand alle autorisierten Verbindungen aus den Settings entfernen.

Siehe dazu auch:

• Herr Müller, sind Sie's? Autorisierungsdienste mit OAuth auf heise Developer