Twitter Sicherheitslücke – Nutzt Clients! (Problem behoben)

21. September 2010

in Twitter

Update: Twitter hat sich dem Problem angenommen und die Sicherheitlücke behoben. Man sollte twitter.com in dieser Hinsicht jetzt wieder gefahrenfrei nutzen können.

Einige Personen haben herausgefunden, dass es möglich ist, über den onmouseover Befehl nahezu jeden beliebigen Code auf Twitter.com auszuführen. Dies ist eine sehr große Sicherheitslücke, vor der ich euch warnen möchte, auch wenn einige von euch sicherlich schon die richtigen Maßnahmen getroffen haben.

Was kann die Sicherheitslücke?

Während das neu entdeckte „Feature“ erst dazu genutzt wurde lustige Regenbogen in die Timeline zu malen, sind einige Twitterer mit boshafter Absicht dazu übergegangen ihre eigenen Tweets mit schadhaftem Code automatisch retweeten zu lassen. Prinzipiell ist aber noch viel mehr möglich.

Und es reicht aus, nur mit deiner Maus über einen solchen Tweet zu fahren, damit der Code ausgeführt wird.

Erkennen kann man diese Tweets am Wort „onmouseover“. Ich möchte nur schnell schreiben, was man jetzt tun kann:

Nutze eine Twitter Software – Nicht twitter.com direkt

Momentan ist es ratsam nur Twitter Software zu nutzen, welche nicht im Browser selbst ausgeführt wird. Das bedeutet, es sollte sicher sein, eure iPhone/Android App oder TweetDeck zu nutzen, da dort der Code nur angezeigt, aber nicht ausgeführt wird.

Filter

Wenn Twitter nicht bald die Sicherheitslücke schließt, ist zu erwarten, dass die Anzahl der Tweets mit onmouseover Code nahezu exponenziell steigt. Einige Twitter Clients, wie zum Beispiel das oben genannte TweetDeck, können Nachrichten filtern. Der Filter mit dem Wort

onmouseover=

sollte jeden, unerwünschten Tweet verschwinden lassen.

Warnt eure Follower doch bitte, nicht auf die Twitter Seite zu gehen und Clients zu nutzen, bis eine Lösung gefunden wurde.

  • http://twitter.com/norialis Sven

    Die Auswirkungen scheinen Kreise zu ziehen. Hab grad beobachtet, das Code auch beim einfachen Laden der eigenen Startseite ausgeführt wird (FF3.6), hoffe schwer auf ne zufällige Kreuzreaktion… lustig ist das nicht mehr.

  • Lana

    Scheiße, ich hab aber keinen anhung von sowas. also sollte ich twitter im momen garnicht mehr benutzen? .s

  • http://www.bloggezwitscher.de germanstudent

    ne, nicht wirklich. Aber zum Glück ist der Spuk jetzt vorbei

  • http://www.bloggezwitscher.de germanstudent

    Hi Lena. Sorry für die späte Antwort. Mittlerweile wurde das Problem behoben und du kannst twitter.com in dieser Hinsicht wieder gefahrenfrei nutzen.

Vorheriger Beitrag:

Nächster Beitrag: