 |
# taz.de -- Sicherheitslücke beim Kurznachrichtendienst: Twitter hatte einen V… |
|
|
|
> Tumult beim Kurznachrichtendienst Twitter: Nachdem sich ein infizierter |
|
> Tweet verbreitet hatte, wurden manche User zu Porno-Webseiten geschickt. |
|
> Andere Tweets zeigten nur JavaScript-Code an. |
|
|
 |
Bild: Angesagtes Schlagwort bei Twitter: "Security Flaw". |
|
|
|
BERLIN dpa | Der Kurzmitteilungsdienst Twitter brach am Dienstag für |
|
mehrere Stunden zusammen, weil sich ein infizierter Tweet in Windeseile |
|
verbreitet hat. "Twitter wo bist du?" fragte verzweifelt Userin |
|
"preem270287". |
|
|
|
Zu den ersten Opfern gehörte die Frau des ehemaligen britischen |
|
Premierministers Gordon Brown. Ihren mehr als 1,1 Millionen "Followern" |
|
schickte sie am Dienstagmittag unfreiwillig eine Mitteilung mit einem Link |
|
zu einer japanischen Porno-Website. Als sie es bemerkte, schickte sie eine |
|
Warnung hinterher: "Fasst den früheren Tweet nicht an - da passiert etwas |
|
sehr Merkwürdiges mit diesem Twitter-Feed! Sarah". |
|
|
|
Verursacht wurde das Durcheinander von einer Sicherheitslücke in Twitter. |
|
Die unbekannten Übeltäter nutzten eine Funktion der Skriptsprache |
|
JavaScript, die als "onmouseover" bezeichnet wird: Dabei wird im |
|
Internet-Browser schon dann eine Aktion ausgelöst, wenn ein Nutzer die Maus |
|
über einen bestimmten Bereich führt - es ist also nicht einmal |
|
erforderlich, auf einen bestimmten Link zu klicken. |
|
|
|
Der Wurm, also der sich selbst immer weiter verbreitende Schadcode, löste |
|
in vielen Fällen automatische "Retweets" aus - den Weiterversand der |
|
infizierten Mitteilung unter dem eigenen Twitter-Namen. Mal wurden die User |
|
zu Porno-Webseiten geschickt, mal wurde nur wirrer JavaScript-Code |
|
angezeigt. In anderen Fällen öffnete der Code ein Popup-Fenster. Vielfach |
|
war auch die übliche Ansicht der Mitteilungen auf twitter.com von einer |
|
wirren Grafik blockiert. "Jetzt schlagen die dinger hier aber auch wirklich |
|
im sekundentakt auf", twitterte "radirks". |
|
|
|
Der Link in dem schädlichen Tweet werde bereits aktiviert, wenn man nur mit |
|
der Maus darüber fahre, erklärte Georg Wicherski vom Forschungslabor der |
|
Sicherheitsfirma Kaspersky, der in seinem Blog die Ereignisse |
|
protokollierte. Bei der als "Cross-Site Scripting" (XSS) bezeichneten |
|
Attacke werde ohne aktives Zutun des Twitter-Nutzers JavaScript-Code von |
|
einer externen Internet-Adresse geladen. Wichersky stellte fest, dass der |
|
Code für diesen Wurm in einschlägigen Chat-Kanälen veröffentlicht werde. |
|
|
|
Twitter selbst hüllte sich erst einmal in Schweigen. So musste sich die |
|
Community selbst helfen: Twitter nur mit spezieller Software nutzen, nicht |
|
im Browser! Erst einige Stunden später meldete die Leiterin der |
|
Twitter-Sicherheitsabteilung, Del Harvey, über den Dienst, die Lücke müsste |
|
nun vollständig geschlossen sein. |
|
|
|
Es ist nicht das erste Mal, dass Twitter aufgrund seiner großen Reichweite |
|
mit mehr als 160 Millionen Mitgliedern ein Ziel von Attacken wird. So |
|
machte im Februar 2009 ein Wurm die Runde, der mit der Botschaft "Don't |
|
click" zum Gegenteil verlockte und sich so weiterverbreitete. |
|
|
|
Mit wiederholten Änderungen seiner Technik lud Twitter aber offenbar auch |
|
selbst dazu ein, neue Möglichkeiten der Webtechnik zu missbrauchen. Im |
|
Interesse einer möglichst dynamischen Darstellung der Tweets bastelten die |
|
Web-Entwickler erst kürzlich wieder an der JavaScript-Schnittstelle - und |
|
lobten sich danach selbst: "Mit #NewTwitter haben wir JavaScript offiziell |
|
als Kerntechnologie in unserer Organisation übernommen." Die Antwort der |
|
Nutzer folgte nach der Attacke am Dienstag: JavaScript abschalten! |
|
|
|
21 Sep 2010 |
|
|
|
## ARTIKEL ZUM THEMA |
