Wurm infiziert Twitter-Accounts
Heute morgen hat Tim wohl nicht schlecht gestaunt, als sein Twitter-Account plötzlich etwas anders aussah. Er hat seinen Twitter-Account mit einem Wurm infiziert.
Wie viele andere auch hat Tim einen Follower-Request von einem Twitter-Account namens “onedegrees” erhalten. Er hat diesen Account für einen der üblichen Spammer gehalten und sich dazu entschlossen, ihn zu blockieren, damit er nicht mehr durch diesen Account gestört wird. Also loggt er sich in Twitter ein, besucht das Profil dieses Accounts und – zack – da war es passiert. Tim fängt sich einen Javascript-Wurm ein. Plötzlich hat er einen anderen Nutzernamen, seltsame Nachrichten, die er gar nicht selbst verfasst hat, erscheinen unter seinem Namen und – was die meisten wohl nicht merken werden – schädlicher Code wurde in sein Twitter-Profil eingefügt.
Wie konnte das nun passieren? Die Ursachen für solche Dinge sind meistens so genannte Cross-Site-Scripting-Angriffe. Dabei kann ein Angreifer seinen eigenen, eventuell schädlichen Code unter den normalen Code einer Javascript-Webanwendung mischen. Er kann dann beliebige Anfragen an den Twitter-Server senden, ohne dass der Nutzer etwas davon merkt. Der Angreifer hat also volle Kontrolle über das fremde Twitter-Profil. Er kann die Farbgebung des Twitter-Acounts ändern, Nachrichten im Namen des nichts ahnenden Opfers verschicken oder – wenn der Super-GAU eintritt – private Daten oder gar Passworte stehlen.
Ich habe den Wurm etwas genauer angesehen. Zum Browser des Nutzers gelangt er über eine Sicherheitslücke in Twitter. Offenbar wird/wurde bei Farbcodes und der Homepage des Nutzers HTML-Code nicht ausreichend “entschärft”, sodass Cross-Site-Scripting-Angriffe möglich waren. So wurde im schädlichen Twitter-Profil ein externes Javascript nachgeladen.
Natürlich möchte auch ein Wurmautor seinen Sourcecode schützen, weswegen das Skript ziemlich gut verschlüsselt obfuscated (der Programmcode wurde verschleiert) wurde. Mir ist es trotzdem mit recht primitiven Mitteln gelungen, den Sourcecode wenigstens teilweise zu verstehen. Der Wurm hat in etwa Folgendes getan:
- der im Profil angegebene Name wurde in “Mikeyy Owns” geändert
- ins Profilfeld “Web” des Nutzers wurde Schadcode eingefügt
- der Farbcode für Links wurde durch eine mit Schadcode infizierte Version ersetzt
- das mit Schadcode infizierte Profil wurde gefollowed
- eine der folgenden, zufällig ausgewählen Nachrichten wurde getweetet:
- Dude, Mikeyy is the shit! :)
- "Man, Twitter can't fix shit. Mikeyy owns. :)
- Mikeyy. Woooo!
- "Dude! Mikeyy! Seriously? Haha. ;)
- Wow...Mikeyy.
- damn mikeyy. haha.
Der Schadcode, der ins Profil eingefügt wurde, bestand aus einem >script<-Tag, das Javascripts von externen Webseiten nachgeladen hat. Es handelte sich dabei zwar jeweils um unterschiedliche Versionen des Wurms, sie waren lediglich in der Verschlüsselung verschieden. Ich persönlich konnte im Skript auf die Schnelle keine Versuche erkennen, Passworte zu stehen. Allerdings sollte man auf jeden Fall sein Twitter-Passwort ändern. Wer auf Nummer sicher gehen will, sollte nach Besuch eines infizierten Profils auf jeden Fall Browsercache, Cookies usw. löschen sowie den Browser neustarten, denn theoretisch können solche Skripts für längere Zeit aktiv bleiben und sich von Seite zu Seite “mitbewegen”.
Für die Zukunft kann eine Firefox-Erweiterung wie NoScript eingesetzt werden. So wäre man in diesem Fall (selbst wenn twitter.com auf der Whitelist stünde) noch einmal ohne Schaden davon gekommen. Auch alle Webentwickler sollten schleunigst an ihren Webanwendungen arbeiten und – zum Beispiel in PHP – Funktionen wie htmlspecialchars() nutzen.
