Twitter-Problem bei Nutzung im Browser

Twitter hat gerade ein kleines Security-Problem mit einem Loch, das sich rasant verbreitet. Wer Twitter im Browser nutzt sollte bei Links in den Tweets aufpassen, die anscheinend auch ein „onmouseover“ im Text dabei haben. Da wird wohl eine Javascript-Lücke mit MouseOver ausgenutzt. Wer mit der Maus darüber geht, verschickt Tweets, die dann (zumindest bei mir im Client) so aussehen (und vermutlich im Browser als normale Links erscheinen):

http://t.co/@“onmouseover=“[Ausführbarer Code]

oder so:

http://a.no/@“onmouseover=“[Ausführbarer Code]

Hier finden sich erste Details. Nutzer von Twitter-Clients können sich entspannt zurücklehnen. Betroffen ist wohl nur die Browser-Variante.

(Update: Am Anfang war das wohl harmlos, mittlerweile wird auch Schadsoftware nachgeladen)

Nochmal Update: Neuerdings sieht man viele Tweets von Usern der Browser-Variante, wo nur „tbubbaloo“ als String drin steht.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

31 Ergänzungen

  1. Es wird offenbar auch schon Malware verbreitet – zumindest versuchen sie es.

    Nutzt die Twitter-Suche Mal um nach getScript zu suchen – aber bitte nur bei ausgeschaltetem JavaScript.

  2. Nicht ganz. Wenn man sich den eingegebenen Text ansieht, dann scheint es eher, dass Pfadangaben nicht maskiert werden.

    Folglich lässt sich so Ausführbarer Code via Javascript nachladen. Viel schlimmer noch, es kann sogar weiterer Code anderer Domains nachgeladen und ausgeführt werden.

    Das onmouseover genutzt wird, liegt daran, dass wenn ich meinen Status aktualisiere, die Maus über den Tweet liegt und so der Event ausgelöst wird. Folglich kann sich dieser auch automatisch verbreiten.

    Solange die Links nicht maskiert werden, empfehle ich das neu laden der Tweets per F5.
    Tweets, die hinter schwarzen Balken verschwinden, wenn möglich löschen, ohne auf den Balken zu kommen.

  3. was kann denn passieren, wenn ich nun doch mit meiner maus da drauf gekommen bin? ich hab ja nun direkt nen RT erstellt.
    hab mich jetzt bei twitter ausgeloggt und warte erstmal ab?
    was genau passiert denn jetzt? sollte ich schnell noch alle meine daten speichern?

  4. Ich nutze ausschließlich Clients (hauptsächlich Echofon), musste mich aber zwecks Administration heute auf der Seite einloggen. Da war natürlich ganz oben einer dieser Blank-Tweets und ich so ganz neugierig… :)

    Naja, hab meinen Wurm-Tweet gelöscht und bin wieder glücklich mit meinem Client unterwegs.

  5. maria: je nach Inhalt kann schon Schadcode auf Deinen Rechner gelangt sein. Und so lange Du den Tweet nicht löschst oder Twitter die Notbremse zieht, können auch Deine Follower betroffen sein.

  6. torsten: danke für die antwort…kann ich denn dagegen irgendwas unternehmen? mein anti-viren-programm hat bisher noch nicht angeschlagen.
    meinen tweet hab ich nun gelöscht…

  7. Das liegt am Plattformdesign.

    Statusmitteilungen werden über die Zeit geladen, sind jedoch als „unsichtbar“ deklariert. Wenn man das Feld mit den neuen Tweets anklickt, werden diese geöffnet.

    Kurz gesagt, wenn der Browser 2h lang offen ist und du 30 ungelesene Tweets hast, sind die bereits in deiner DOM enthalten.

    Da diese Tweets jedoch Stunden alt sein können, kann es durchaus sein, dass Sie den Exploit noch beinhalten. Der Retweet wird jedenfalls Ordnungsgemäß maskiert.

    Also Seite neu Laden und evt. neu einloggen. Den Exploit habe ich erstmalig gegen 10:00 gesehen.

    Der http://twitter.com/RainbowTwtr hat dabei die Tweets mit schönen Farben unterlegt gehabt.

    Gegen 15:30 wurde das Problem behoben. Also 5 1/2 Stunden, in der evt. Tweets mit Exploit geladen hätten werden können.

  8. Hey, ich bin über den von euch veröffentlichten Twitterlink zu dem Artikel gekommen.
    Jetzt sagt mein NoScript:

    Noscript hat einen möglichen Cross-Site-Scripting-Versuch von [http://netzpolitik.org] gefiltert. Techische Details wurden in der Konsole protokolliert.

    In der Konsole find ich unter Fehler:

    Fehler: netzpolitik is not defined
    Quelldatei: javascript:%20netzpolitik
    Zeile: 1

    ca. 20 Mal

    und unter Warnungen:

    Warnung: Unbekannte Eigenschaft ‚-moz-transition‘. Deklaration ignoriert.
    Quelldatei: http://s.ytimg.com/yt/cssbin/www-core-vfl_X8_3I.css
    Zeile: 1

    wobei der Link immer der selbe ist. Nur die Unbekannte Eigenschaft variiert.

    Wäre ganz nett wenn mich da jemand evtl aufklären könnte..

  9. bekomme gerande diese meldung von noscrips

    [NoScript XSS] Sanitized suspicious request. Original URL [http://api.flattr.com/button/view/?button=compact&uid=10056&url=http%3A%2F%2Fwww.netzpolitik.org%2F2010%2Ftwitter-problem-bei-nutzung-im-browser%2F&language=de_DE&hidden=0&title=Twitter-Problem%20bei%20Nutzung%20im%20Browser&category=text&tags=sicherheit%2Ctwitter&description=Twitter%20hat%20gerade%20ein%20kleines%20Security-Problem%20mit%20einem%20Loch%2C%20das%20sich%20rasant%20verbreitet.%20Wer%20Twitter%20im%20Browser%20nutzt%20sollte%20bei%20Links%20in%20den%20Tweets%20aufpassen%2C%20die%20anscheinend%20auch%20ein%20%22onmouseover%22%20im%20Text%20dabei%20haben.%20Da%20wird%20wohl%20eine%20Javascript-L%C3%BCcke%20mit%20MouseOver%20ausgenutzt.%20Wer%20mit%20der%20Maus%20dar%C3%BCber%20geht%2C%20verschickt%20Tweets%2C%20die%20dann%20(zumindest%20bei%20mir%20im%20Client)%20so%20aussehen%20(und%20vermutlich%20im%20Browser%20als%20normale%20Links%20erscheinen)%3A%20%20http%3A%2F%2Ft.co%2F%40%22onmouseover%3D%22while(42)%7Balert(%27MrJack%20got%20you%27)%3B%7D%22font-size%3A500pt%3B%2F%20%20oder%20so%3A%20%20http%3A%2F%2Fa.no%2F%40%22onmouseover%3D%22%3B%24(%27textarea%3Afirst%27).val(this.innerHTML)%3B%24(%27.status-update-form%27).submit()%22%20style%3D%22color%3A%23000%3Bbackground%3A%23000%3B%2F%20%20Hier%20finden%20sich%20erste%20Details.%20Nutzer%20von%20Twitter-Clients%20k%C3%B6nnen%20sich%20entspannt%20zur%C3%BCcklehnen.%20Betroffen%20ist%20wohl%20nur%20die%20Browser-Variante.%20%20(Update%3A%20Am%20Anfang%20war%20das%20wohl%20harmlos%2C%20mittlerweile%20wird%20auch%20Schadsoftware%20nachgeladen)%20%20Nochmal%20Update%3A%20Neuerdings%20sieht%20man%20viele%20Tweets%20von%20Usern%20der%20Browser-Variante%2C%20wo%20nur%20%22tbubbaloo] requested from [http://www.netzpolitik.org/]. Sanitized URL: [http://api.flattr.com/button/view/?button=compact&uid=10056&url=http%3A%2F%2Fwww.netzpolitik.org%2F2010%2Ftwitter-problem-bei-nutzung-im-browser%2F&language=de_DE&hidden=0&title=Twitter-Problem%20bei%20Nutzung%20im%20Browser&category=text&tags=sicherheit%2Ctwitter&description=Twitter%20hat%20gerade%20ein%20kleines%20Security-Problem%20mit%20einem%20Loch%2C%20das%20sich%20rasant%20verbreitet.%20Wer%20Twitter%20im%20Browser%20nutzt%20sollte%20bei%20Links%20in%20den%20Tweets%20aufpassen%2C%20die%20anscheinend%20auch%20ein%20ONMOUSEOVER%20im%20Text%20dabei%20haben.%20Da%20wird%20wohl%20eine%20Javascript-L%C3%BCcke%20mit%20MouseOver%20ausgenutzt.%20Wer%20mit%20der%20Maus%20dar%C3%BCber%20geht%2C%20verschickt%20Tweets%2C%20die%20dann%20%20zumindest%20bei%20mir%20im%20Client%20%20so%20aussehen%20%20und%20vermutlich%20im%20Browser%20als%20normale%20Links%20erscheinen%20%3A%20http%3A%2F%2Ft.co%2F%40%20ONMOUSEOVER%20%20while%2042%20%7BALERT%20%20MrJack%20got%20you%20%20%3B%7D%20font-size%3A500pt%3B%2F%20oder%20so%3A%20http%3A%2F%2Fa.no%2F%40%20ONMOUSEOVER%20%20%3B%24%20%20textarea%3Afirst%20%20.val%20this.INNERHTML%20%3B%24%20%20.status-update-form%20%20.submit%20%20%20style%20%20color%3A%23000%3Bbackground%3A%23000%3B%2F%20Hier%20finden%20sich%20erste%20Details.%20Nutzer%20von%20Twitter-Clients%20k%C3%B6nnen%20sich%20entspannt%20zur%C3%BCcklehnen.%20Betroffen%20ist%20wohl%20nur%20die%20Browser-Variante.%20%20Update%3A%20Am%20Anfang%20war%20das%20wohl%20harmlos%2C%20mittlerweile%20wird%20auch%20Schadsoftware%20nachgeladen%20%20Nochmal%20Update%3A%20Neuerdings%20sieht%20man%20viele%20Tweets%20von%20Usern%20der%20Browser-Variante%2C%20wo%20nur%20tbubbaloo#13520886057997372348].

  10. Hallo Markus.

    NoScript stellt bei euch ein XSS-Versuch fest, immernoch. Ich denke, dass liegt am geposteten Artikel. Dieser scheint 1:1 an Flattr übertragen zu werden.

    Im übertragenen Feld „description“ wird der Text unmaskiert übertragen. Noscript geht hier scheinbar davon aus, dass dieses Feld im Browser ausführbar ist.

    Nun ist die Frage ob NoScript auf Muster oder Schlagwörter anspricht. Evt. reicht es, die Klammern und Anführungszeichen in Char-Code darzustellen. Ansonsten die Codefragmente gegen Pseudocode ersetzen, ähnlich

    http://[Domain]/@„[ausführbarer Code]/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.