19.06.2009 | Redakteur: Stephan Augsten
Microblogging via Twitter ist in – und damit interessant für Hacking-Attacken. Millionen User sind gefährdet, denn die Sicherheit von Web-2.0-Angeboten steht meist in keinem Verhältnis zu deren Nutzen und Anwenderfreundlichkeit. Deshalb erkärt Sicherheitsforscher Aviv Raff den Juli 2009 zum „Month of Twitter Bugs“ und dokumentiert Programmierfehler auf der Social-Networking-Plattform.
Analog zu der von ihm mitbegründeten Initiative „Month of Browser Bugs“ informiert Aviv Raff während des Month of Twitter Bugs auf der Webseite Twitpwn.com über Sicherheitsmängel auf Twitter. Seit Juli 2008 beschäftigt sich der Security-Forscher mit Schwachstellen und möglichen Risiken der Social-Networking-Plattform.
Dabei ist Raff auf Sicherheitslücken im Application Programming Interface (API) von Twitter aufmerksam geworden. Mithilfe der Programmierschnittstelle können Drittanbieter eigene Dienste und Anwendungen für die Twitter-Plattform entwickeln. Schafft es ein Angreifer, eine Schwachstelle in Twitter-Services oder -Anwendungen auszunutzen, könnte dies beispielsweise die Verbreitung eines Twitter-Wurms begünstigen, warnt Raff.
Update: Wie auf Stichwort warnt der Security-Hersteller Symantec aktuell vor einer Wurm-Attacke auf Twitter: Spammer versuchen mithilfe gefälschter Twitter-Einladungen einen Massen-Mailing-Wurm zu verbreiten. Die enttarnten Nachrichten sehen genauso aus wie legitime Twitter-Nachrichten. Anstelle der Einladungs-URL enthalten sie allerdings eine Zip-Datei, die mit ihrem Namen „Invitation Card.zip“ vorgibt, eine Einladungskarte zu sein.
In der Symantec-Datenbank wird der bösartige Anhang aufgrund einer vorangegangenen E-Card-Virenattacke bereits seit Februar als W32.Ackantta.B@mm geführt. Der Massenmailing-Wurm sammelt E-Mail-Adressen auf infizierten Rechnern und verbreitet sich darüber hinaus über freigegebene Ordner und portable Datenträger wie USB-Sticks. Laut Symantec sollten sich auch die Nutzer anderer Social-Networking-Plattformen auf ähnliche Angriffe einstellen.
Juli ist „Month of Twitter Bugs“
Genau solchen Gefahren will Aviv Raff mit seinem „Month of Twitter Bugs“ (MoTB) vorbeugen. An jedem Tag im Juli 2009 gibt der Sicherheitsexperte eine neue Schwachstelle bekannt, die sich in einem Drittanbieter-Dienst findet. Der entsprechende Entwickler und die Betreiber von Twitter werden 24 Stunden vorher informiert, damit sie die Sicherheitslücke rechtzeitig schließen können.
Ungeachtet dessen behaupten Kritiker der „Month of“-Projekte, dass sie eher PR-Zwecken dienen, als dass sie für mehr Sicherheit sorgen. Einige Security-Experten vergleichen die Initiativen mit einer Bürgerwehr, die Türen eintritt und sie anschließend offen stehen lässt, wodurch Einbrüche begünstigt werden.
Nach eigenen Angaben hat Raff bereits genügend Schwachstellen in Twitter-Diensten ausfindig gemacht, um den Juli komplett zu füllen. Trotzdem ruft er alle Leser dazu auf, identifizierte Schwachstellen in Drittanbieter-Produkten an seinen Twitter-Alias avivra weiterzuleiten.
Raff will nicht ausschließen, dass der MoTB früher oder später auf einen „Month of Web 2.0 Service Bugs“ ausgeweitet wird. Denn auch andere Social-Networking-Plattformen und Web-2.0-Services weisen eklatante Sicherheitsmängel auf. „Ich hoffe, dass Twitter und andere Web-2.0-API-Anbieter künftig enger mit ihren API-Nutzern zusammenarbeiten, um sicherere Produkte zu entwickeln.“
Dies wäre nicht nur im Interesse der Betreiber und Privatanwender. Denn auch Firmen nutzen Twitter laut FAZ.net bereist aktiv als Vertriebskanal oder für den Kundendienst. Für diese Firmen werden Drittanbieter-Services und -Anwendungen früher oder später ebenfalls interessant.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2022472)
