Spenden

Dieser Artikel ist mehr als 15 Jahre alt.

Twitter-Problem bei Nutzung im Browser

Twitter hat gerade ein kleines Security-Problem mit einem Loch, das sich rasant verbreitet. Wer Twitter im Browser nutzt sollte bei Links in den Tweets aufpassen, die anscheinend auch ein „onmouseover“ im Text dabei haben. Da wird wohl eine Javascript-Lücke mit MouseOver ausgenutzt. Wer mit der Maus darüber geht, verschickt Tweets, die dann (zumindest bei mir im Client) so aussehen (und vermutlich im Browser als normale Links erscheinen):

http://t.co/@„onmouseover=“[Ausführbarer Code]

oder so:

http://a.no/@„onmouseover=“[Ausführbarer Code]

Hier finden sich erste Details. Nutzer von Twitter-Clients können sich entspannt zurücklehnen. Betroffen ist wohl nur die Browser-Variante.

(Update: Am Anfang war das wohl harmlos, mittlerweile wird auch Schadsoftware nachgeladen)

Nochmal Update: Neuerdings sieht man viele Tweets von Usern der Browser-Variante, wo nur „tbubbaloo“ als String drin steht.

  • Markus Beckedahl
Markus Beckedahl
31

Twitter hat gerade ein kleines Security-Problem mit einem Loch, das sich rasant verbreitet. Wer Twitter im Browser nutzt sollte bei Links in den Tweets aufpassen, die anscheinend auch ein „onmouseover“ im Text dabei haben. Da wird wohl eine Javascript-Lücke mit MouseOver ausgenutzt. Wer mit der Maus darüber geht, verschickt Tweets, die dann (zumindest bei mir im Client) so aussehen (und vermutlich im Browser als normale Links erscheinen):

http://t.co/@„onmouseover=“[Ausführbarer Code]

oder so:

http://a.no/@„onmouseover=“[Ausführbarer Code]

Hier finden sich erste Details. Nutzer von Twitter-Clients können sich entspannt zurücklehnen. Betroffen ist wohl nur die Browser-Variante.

(Update: Am Anfang war das wohl harmlos, mittlerweile wird auch Schadsoftware nachgeladen)

Nochmal Update: Neuerdings sieht man viele Tweets von Usern der Browser-Variante, wo nur „tbubbaloo“ als String drin steht.

Über die Autor:innen

  • Markus Beckedahl
    Darja Preuss
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

Veröffentlicht

Kategorie

Schlagwörter

,

Weiterlesen

Thema

Datenschutz

Thema

Sicherheit

Thema

Twitter

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

31 Kommentare zu „Twitter-Problem bei Nutzung im Browser“

  1. Torsten

    ,

    Es wird offenbar auch schon Malware verbreitet – zumindest versuchen sie es.

    Nutzt die Twitter-Suche Mal um nach getScript zu suchen – aber bitte nur bei ausgeschaltetem JavaScript.

  2. Nutzername

    ,

    Nicht ganz. Wenn man sich den eingegebenen Text ansieht, dann scheint es eher, dass Pfadangaben nicht maskiert werden.

    Folglich lässt sich so Ausführbarer Code via Javascript nachladen. Viel schlimmer noch, es kann sogar weiterer Code anderer Domains nachgeladen und ausgeführt werden.

    Das onmouseover genutzt wird, liegt daran, dass wenn ich meinen Status aktualisiere, die Maus über den Tweet liegt und so der Event ausgelöst wird. Folglich kann sich dieser auch automatisch verbreiten.

    Solange die Links nicht maskiert werden, empfehle ich das neu laden der Tweets per F5.
    Tweets, die hinter schwarzen Balken verschwinden, wenn möglich löschen, ohne auf den Balken zu kommen.

  3. maria

    ,

    was kann denn passieren, wenn ich nun doch mit meiner maus da drauf gekommen bin? ich hab ja nun direkt nen RT erstellt.
    hab mich jetzt bei twitter ausgeloggt und warte erstmal ab?
    was genau passiert denn jetzt? sollte ich schnell noch alle meine daten speichern?

  4. bundesrainer

    ,

    Ich nutze ausschließlich Clients (hauptsächlich Echofon), musste mich aber zwecks Administration heute auf der Seite einloggen. Da war natürlich ganz oben einer dieser Blank-Tweets und ich so ganz neugierig… :)

    Naja, hab meinen Wurm-Tweet gelöscht und bin wieder glücklich mit meinem Client unterwegs.

  5. Torsten

    ,

    maria: je nach Inhalt kann schon Schadcode auf Deinen Rechner gelangt sein. Und so lange Du den Tweet nicht löschst oder Twitter die Notbremse zieht, können auch Deine Follower betroffen sein.

  6. maria

    ,

    torsten: danke für die antwort…kann ich denn dagegen irgendwas unternehmen? mein anti-viren-programm hat bisher noch nicht angeschlagen.
    meinen tweet hab ich nun gelöscht…

  7. Torsten

    ,

    maria: sorry, einen ultimativen Ratschlag kann ich da nicht geben.

  8. Nutzername

    ,

    Twitter scheint das Problem wohl behoben zu haben. Die Pfade werden jetzt maskiert.

    1. markus

      ,

      @Nutzername: Unklar, Entwarnung würde ich och nicht geben, hier kommen immer noch Tweets an, die komisch aussehen.

    2. 0mad

      ,

      Ich kriege ebenfalls immer wieder Tweets mit mouseover rein.

  9. Bei Twitter ist der Wurm drin | 1&1 Blog

    ,

    […] wird eine JavaScript-Lücke auf der Kurznachtichten-Plattform ausgenutzt. Laut netzpolitik.org ist davon ausschließlich die Browser-Variante von Twitter […]

  10. Nutzername

    ,

    Das liegt am Plattformdesign.

    Statusmitteilungen werden über die Zeit geladen, sind jedoch als „unsichtbar“ deklariert. Wenn man das Feld mit den neuen Tweets anklickt, werden diese geöffnet.

    Kurz gesagt, wenn der Browser 2h lang offen ist und du 30 ungelesene Tweets hast, sind die bereits in deiner DOM enthalten.

    Da diese Tweets jedoch Stunden alt sein können, kann es durchaus sein, dass Sie den Exploit noch beinhalten. Der Retweet wird jedenfalls Ordnungsgemäß maskiert.

    Also Seite neu Laden und evt. neu einloggen. Den Exploit habe ich erstmalig gegen 10:00 gesehen.

    Der http://twitter.com/RainbowTwtr hat dabei die Tweets mit schönen Farben unterlegt gehabt.

    Gegen 15:30 wurde das Problem behoben. Also 5 1/2 Stunden, in der evt. Tweets mit Exploit geladen hätten werden können.

  11. Wolf

    ,

    So sieht der Wrm auf dem Bildschirm aus (Video):
    http://www.youtube.com/watch?v=yw-I0-6M7uU

  12. Tobi

    ,

    Hey, ich bin über den von euch veröffentlichten Twitterlink zu dem Artikel gekommen.
    Jetzt sagt mein NoScript:

    Noscript hat einen möglichen Cross-Site-Scripting-Versuch von [http://netzpolitik.org] gefiltert. Techische Details wurden in der Konsole protokolliert.

    In der Konsole find ich unter Fehler:

    Fehler: netzpolitik is not defined
    Quelldatei: javascript:%20netzpolitik
    Zeile: 1

    ca. 20 Mal

    und unter Warnungen:

    Warnung: Unbekannte Eigenschaft ‚-moz-transition’. Deklaration ignoriert.
    Quelldatei: http://s.ytimg.com/yt/cssbin/www-core-vfl_X8_3I.css
    Zeile: 1

    wobei der Link immer der selbe ist. Nur die Unbekannte Eigenschaft variiert.

    Wäre ganz nett wenn mich da jemand evtl aufklären könnte..

  13. hansklausmeier

    ,

    bekomme gerande diese meldung von noscrips

    [NoScript XSS] Sanitized suspicious request. Original URL [http://api.flattr.com/button/view/?button=compact&uid=10056&url=http%3A%2F%2Fwww.netzpolitik.org%2F2010%2Ftwitter-problem-bei-nutzung-im-browser%2F&language=de_DE&hidden=0&title=Twitter-Problem%20bei%20Nutzung%20im%20Browser&category=text&tags=sicherheit%2Ctwitter&description=Twitter%20hat%20gerade%20ein%20kleines%20Security-Problem%20mit%20einem%20Loch%2C%20das%20sich%20rasant%20verbreitet.%20Wer%20Twitter%20im%20Browser%20nutzt%20sollte%20bei%20Links%20in%20den%20Tweets%20aufpassen%2C%20die%20anscheinend%20auch%20ein%20%22onmouseover%22%20im%20Text%20dabei%20haben.%20Da%20wird%20wohl%20eine%20Javascript‑L%C3%BCcke%20mit%20MouseOver%20ausgenutzt.%20Wer%20mit%20der%20Maus%20dar%C3%BCber%20geht%2C%20verschickt%20Tweets%2C%20die%20dann%20(zumindest%20bei%20mir%20im%20Client)%20so%20aussehen%20(und%20vermutlich%20im%20Browser%20als%20normale%20Links%20erscheinen)%3A%20%20http%3A%2F%2Ft.co%2F%40%22onmouseover%3D%22while(42)%7Balert(%27MrJack%20got%20you%27)%3B%7D%22font-size%3A500pt%3B%2F%20%20oder%20so%3A%20%20http%3A%2F%2Fa.no%2F%40%22onmouseover%3D%22%3B%24(%27textarea%3Afirst%27).val(this.innerHTML)%3B%24(%27.status-update-form%27).submit()%22%20style%3D%22color%3A%23000%3Bbackground%3A%23000%3B%2F%20%20Hier%20finden%20sich%20erste%20Details.%20Nutzer%20von%20Twitter-Clients%20k%C3%B6nnen%20sich%20entspannt%20zur%C3%BCcklehnen.%20Betroffen%20ist%20wohl%20nur%20die%20Browser-Variante.%20%20(Update%3A%20Am%20Anfang%20war%20das%20wohl%20harmlos%2C%20mittlerweile%20wird%20auch%20Schadsoftware%20nachgeladen)%20%20Nochmal%20Update%3A%20Neuerdings%20sieht%20man%20viele%20Tweets%20von%20Usern%20der%20Browser-Variante%2C%20wo%20nur%20%22tbubbaloo] requested from [http://www.netzpolitik.org/]. Sanitized URL: [http://api.flattr.com/button/view/?button=compact&uid=10056&url=http%3A%2F%2Fwww.netzpolitik.org%2F2010%2Ftwitter-problem-bei-nutzung-im-browser%2F&language=de_DE&hidden=0&title=Twitter-Problem%20bei%20Nutzung%20im%20Browser&category=text&tags=sicherheit%2Ctwitter&description=Twitter%20hat%20gerade%20ein%20kleines%20Security-Problem%20mit%20einem%20Loch%2C%20das%20sich%20rasant%20verbreitet.%20Wer%20Twitter%20im%20Browser%20nutzt%20sollte%20bei%20Links%20in%20den%20Tweets%20aufpassen%2C%20die%20anscheinend%20auch%20ein%20ONMOUSEOVER%20im%20Text%20dabei%20haben.%20Da%20wird%20wohl%20eine%20Javascript‑L%C3%BCcke%20mit%20MouseOver%20ausgenutzt.%20Wer%20mit%20der%20Maus%20dar%C3%BCber%20geht%2C%20verschickt%20Tweets%2C%20die%20dann%20%20zumindest%20bei%20mir%20im%20Client%20%20so%20aussehen%20%20und%20vermutlich%20im%20Browser%20als%20normale%20Links%20erscheinen%20%3A%20http%3A%2F%2Ft.co%2F%40%20ONMOUSEOVER%20%20while%2042%20%7BALERT%20%20MrJack%20got%20you%20%20%3B%7D%20font-size%3A500pt%3B%2F%20oder%20so%3A%20http%3A%2F%2Fa.no%2F%40%20ONMOUSEOVER%20%20%3B%24%20%20textarea%3Afirst%20%20.val%20this.INNERHTML%20%3B%24%20%20.status-update-form%20%20.submit%20%20%20style%20%20color%3A%23000%3Bbackground%3A%23000%3B%2F%20Hier%20finden%20sich%20erste%20Details.%20Nutzer%20von%20Twitter-Clients%20k%C3%B6nnen%20sich%20entspannt%20zur%C3%BCcklehnen.%20Betroffen%20ist%20wohl%20nur%20die%20Browser-Variante.%20%20Update%3A%20Am%20Anfang%20war%20das%20wohl%20harmlos%2C%20mittlerweile%20wird%20auch%20Schadsoftware%20nachgeladen%20%20Nochmal%20Update%3A%20Neuerdings%20sieht%20man%20viele%20Tweets%20von%20Usern%20der%20Browser-Variante%2C%20wo%20nur%20tbubbaloo#13520886057997372348].

  14. Tobi

    ,

    Dieselbe Meldung hab ich jetzt auch drinne.

  15. Volker

    ,

    Hier das Statement von Twitter:

    http://blog.twitter.com/2010/09/all-about-onmouseover-incident.html

  16. -andy2600

    ,

    Schade, dass man hier solche Beleidigungen loslassen kann.

  17. Tobi

    ,

    Es gibt auch menschen die sich über Twitter nur informieren.

  18. -andy2600

    ,

    Schön das manche hier eine so großes Mitteilungsbedürfnis haben. Du solltest das twittern lol

  19. Tobi

    ,

    versteh ich jetzt auch nicht unbedingt warum das jetzt gelöscht wurde..

    1. markus

      ,

      @Tobi: Neue Trolls, die hier blöd rumpöbeln, brauchen wir nicht.

  20. Tobi

    ,

    okay nach dem letzten Kommentar versteh ich dich..

    Weißt du mittlerweile eigentlich was über XSS Sache?

    1. markus

      ,

      @Tobi: Wir vermuten, dass es kurzfristig mit dem Flattr- oder Tweetme-Button zu tun hatte. Taucht die Meldung immer noch auf?

  21. trueten.de - Willkommen in unserem Blog!

    ,

    Was mir heute wichtig erscheint #228…

    Entwurf: Harald Thomé, Fachreferent für Arbeitslosen- und Sozialrecht, hat den Referentenentwurf des BMAS zu den geplanten Änderungen im SGB II der eine Vielzahl von deutlichen Verschärfungen im SGB II  / Hartz IV und verfahrensrechtlichen Bereich…

  22. Volker

    ,

    @Markus: Ja, scheint aber nur bei diesem Artikel hier zu sein.

    1. markus

      ,

      @Volker: Liegt das dann vielleicht an den geposteten Tweets, die von der Software vll ausgelesen werden?

  23. Nutzername

    ,

    Hallo Markus.

    NoScript stellt bei euch ein XSS-Versuch fest, immernoch. Ich denke, dass liegt am geposteten Artikel. Dieser scheint 1:1 an Flattr übertragen zu werden.

    Im übertragenen Feld „description“ wird der Text unmaskiert übertragen. Noscript geht hier scheinbar davon aus, dass dieses Feld im Browser ausführbar ist.

    Nun ist die Frage ob NoScript auf Muster oder Schlagwörter anspricht. Evt. reicht es, die Klammern und Anführungszeichen in Char-Code darzustellen. Ansonsten die Codefragmente gegen Pseudocode ersetzen, ähnlich

    http://[Domain]/@“[ausführbarer Code]/

    1. markus

      ,

      @Nutzername: Dnake, hab den Code mal hinter dem mouseover ersetzt.

  24. Tobi

    ,

    Kriege die Leiste weiterhin angezeigt…

  25. Rückblick auf die 38. Woche | Zafenat

    ,

    […] Interessant dürfte in dieser Woche die Sicherheitslücke in Twitter gewesen sein. Ein Wurm hatte sich durch mehrere Accounts gefressen und über diese massenhaft Tweets mit unzusammenhängenden Meldungen verschickt. Eine interessante Erklärung dazu, findet sich auf Netzpolitik. […]

Dieser Artikel ist älter als 15 Jahre, daher sind die Ergänzungen geschlossen.