Fremdgetwittert: Zahlreiche Twitter-Clients durch Sicherheitslücke gefährdet

Twitter-Nutzer, die eine Dritt-App zum Twittern verwenden, sollten sich überlegen, einstweilen darauf zu verzichten. Auch die  Anmeldung über Twitter bei anderen Onlinediensten ist derzeit womöglich keine gute Idee, denn eine nicht geschlossene Sicherheitslücke in einer alten Schnittstelle von Twitter erlaubt den Zugriff auf Tweets und Twitter-Accounts von Nutzern.

Der Kurznachrichtendienst Twitter hat bestätigt, dass eine Sicherheitslücke in der Schnittstelle Twitterkit existiert. Diese Lösung wurde in der Vergangenheit von Dritt-Apps genutzt, um auf Twitter zuzugreifen oder eine Anmeldung über Twitter anzubieten. Twitter selbst hat sein Produkt bereits abgekündigt. Es bestätigte zwar das Sicherheitsproblem, das von Forschern des Fraunhofer-Instituts für Sichere Informationstechnologie entdeckt worden war, wird es aber nicht mehr lösen.
Dennoch wird Twitterkit noch von zahlreichen Dritt-Apps genutzt.

Angreifer können in eurem Namen twittern und auf eure Tweets zugreifen

Insgesamt 45 der 2.000 beliebtesten deutschen Apps nutzen Twitterkit auf die ein- oder andere Weise, erklären die Forscher – entweder, um einen Login in einen Dritt-Dienst über Twitters Logindienst anzubieten, oder zur Nutzung von Twitter selbst. Ein Angreifer kann die Lücke in Twitterkit ausnutzen, um im Namen des Opfers Tweets abzusetzen oder eine Anmeldung in dessen Namen bei einem Dritt-Dienst durchzuführen. Das Problem hängt mit der nicht sauber durchgeführten Nutzung von SSL-Zertifikaten zusammen.

Welche Apps konkret betroffen sind, möchten die forscher nicht verraten, um den Entwicklern Zeit zu geben, das Problem zu beheben. Hierfür werden in der Regel 60 Tage eingeräumt. Bis dahin sollten Nutzer von Twitter wohl auf die diensteigenen Lösungen zurückgreifen, um ganz sicher zu gehen.