Twitter wist al maanden van JavaScript-gat
Gepubliceerd: Woensdag 22 september 2010
Auteur: Sander van der Meijs
Het gat in de Twitter-website waar gister een heel bataljon wormen doorheen kwam, was in augustus al gefixt. Het lek is per ongeluk opnieuw geïntroduceerd.
De problemen op Twitter van gisteren zijn veroorzaakt door meerdere wormen. Die doken allemaal op de cross-site scripting (xss) kwetsbaarheid in de 'onmouseover'-functie van Twitter, meldt beveiligingsbedrijf FSecure. Gebruikers hoefden niet eens te klikken op een link, het was al voldoende dat ze met hun muispijl over de kwaadaardige tweets gingen. Die berichten met malafide code werden dan direct geretweet.
Freelance webontwikkelaar Espen Antonsen heeft het misbruik van dit css-gat al vroeg gemeld. Hij zegt dat de eerste wormen slechts proof-of-concepts waren en dat daarna nieuwe versies met meer kwaadaardige bedoelingen op het toneel verschenen. Die serieuzere wormen stuurden de pc's van slachtoffers naar websites met malware die dan weer voor verdere besmetting zorgden.
Opnieuw geïntroduceerd
De Britse krant The Guardian meldt dat de kwetsbaarheid is ontdekt door de Japanse ontwikkelaar Masato Kinugawa. Die heeft de fout op 14 augustus al aan Twitter gemeld. Het hoofd van beveiliging bij die microblogdienst bevestigt dit in een blogpost, waarin hij het incident uitlegt. Hij zegt dat de bug na die melding is gedicht, maar dat het lek er bij een volgende update weer in is geslopen. De fix is per ongeluk terug gerold.
Kinugawa heeft 'zijn bug' op 14 september opnieuw ontdekt toen de geheel vernieuwde website van Twitter is gelanceerd. Gistermiddag Japanse tijd heeft hij vervolgens een Twitteraccount aangemaakt met de naam 'Rainbow Twtr', en heeft hij zijn realtief onschuldige proof-of-concept losgelaten. Daarmee liet hij zien dat je door deze xss-kwetsbaarheid tweets andere kleuren kon geven. De proof-of-concept code kwam online toen het aan de westkust van de VS, waar Twitter is gebaseerd, nacht was en niemand op zulke incidenten lette.
Exponentiële verspreiding
Terwijl de beveiligers van Twitter sliepen, werd de kwetsbaarheid snel opgepakt door anderen. De eerste die het gebruikte, was webontwikkelaar Magnus Holm. Hij kwam op het idee om de code uit te breiden zodat de tweet automatisch geretweet werd door de mousover-functie.
Eerst dacht hij dat het niet goed ging, "meh, this worm doesn't really scale. The users can just delete the tweet :(", twitterde hij. Vervolgens bleek dat de worm zich razendsnel verspreidde. "holy shit. I think this is exponential: "3381 more results since you started searching."", was zijn volgende boodschap. Daarna: "This is scary".
Daarna doken er wormen op Twitter die mensen doorstuurden naar een Russische site, en andere die mensen lastig vielen met Japanse porno. Weer een andere worm veranderde de hele Twitter-pagina in een link.
