Off-by-one 2.0

Bei der „Off-by-one”-Schwachstelle handelt es sich um ein altbekanntes Konzept. Hier eine Beschreibung aus Wikipedia:


Ein Off-by-one-Error (OBOE) bezeichnet einen logischen Fehler mit einem speziellen Fall des Zaunpfahlproblems. Häufig unterläuft dieser Fehler bei der Programmierung von Software, wenn eine Wiederholungsschleife einmal zu oft oder einmal zu wenig durchlaufen wird. Die Ursache für dieses Problem ist typischerweise der Umstand, dass der Programmierer nicht berücksichtigt, dass eine Sequenz bei 0 beginnt und nicht mit 1 (wie in vielen Sprachen die Array-Indices), oder den Fehler begeht, „ist weniger als oder gleich“ zu verwenden, wenn „ist weniger als“ für einen Vergleich hätte gewählt werden müssen.

Dieser Fehler kann durchaus zu einem DOS oder in bestimmten Fällen sogar zu einer Code-Ausführung führen. Im Web lassen sich unzählige Quellen finden, in denen eine Ausnutzung eines „Off-by-One Heap Overflow“ beschrieben wird.

Warum aber „Off-by-one 2.0”?

Beim Lesen meines Twitter-Feeds machte ich eine wahrhaft interessante Entdeckung. Ein Tweet eines offiziellen Geschäftskontos enthielt eine abgekürzte URL-Adresse (bit.ly), die zu einer Seite mit einer möglicherweise unerwünschten Anwendung weiterleitet.

Bei näherer Betrachtung des Screenshots stellt man zwei ähnliche bit.ly Links fest. Bei einem fehlt der Buchstabe „d”, daher das „Off-by-one 2.0”.

Aufgrund eines einfachen Copy-and-Paste-Fehlers führt die neue URL zu einer ganz anderen Webseite. Ich war eher vorsichtig und überprüfte die Website mit http://web-sniffer.net.

Hier sehen Sie die Website, die sich bei Anklicken des ursprünglichen Tweets öffnet:

Wie der Name der Domäne vermuten lässt, handelt es sich um eine Quiz-Site, aber irgendwie wirkt sie verdächtig. In der Vergangenheit habe ich viele ähnliche Seiten beobachtet, die allerlei bösartiges Zeug anstellten.

Daher entschied ich, weitere Nachforschungen anzustellen und klickte willkürlich auf eine Quizfrage:

Unter Verwendung eines Testsystems und eines Twitter-Testkontos akzeptierte ich die Eingabeaufforderung, um das Quiz zu starten. Es wird unmissverständlich darauf hingewiesen, dass Sie bei einer Anmeldung ihrem Twitter-Konto folgen werden.

Überraschenderweise landete ich wieder auf Twitter und wurde, wie im Screenshot unten zu sehen, aufgefordert, einer Anwendung Zugriff auf mein Twitterkonto zu gewähren:

Immer noch unter Verwendung meines Testkontos erteilte ich der Anwendung den Zugriff und wurde wieder zu dem Quiz, das ursprünglich angezeigt worden ist, zurückgeführt:

Was hat die Anwendung gemacht?

Indem ich mich mit der Installation der Anwendung einverstanden erklärt habe, habe ich, wie im nachfolgenden Screenshot zu sehen, einen Lese- und Schreibzugriff auf mein Twitterkonto gewährt:

Sobald der Anwendung der Zugriff gewährt wurde, folgte sie automatisch dem Twitterkonto „lolquiz“. Auf dieses Verhalten wurde auf der Website – in einem ganz klein gedruckten Satz, den ich beim ersten Mal übersehen haben – hingewiesen.

Nun folgt mein Testkonto den Urhebern dieser möglicherweise unerwünschten Anwendung.

Schaut man sich die Zahl derjenigen an, die der Aufforderung gefolgt sind, stellt man fest, dass mehr als 300,000 (!) Nutzer der Anwendung den Zugriff erteilt haben. Ich bin sicher, dass der Großteil von ihnen das Kleingedruckte über das automatische Follow -Feature der Anwendung nicht gelesen hat:

Ich hatte bis jetzt noch gar nichts getwittert. Also entschied ich, das Quiz zu spielen und abzuwarten, ob danach irgendetwas passieren würde:

Sobald ein Quiz von der Webseite gemacht wird, veröffentlicht die Anwendung Ihr Spielergebnis auf Twitter. Wenn andere Nutzer nun ihrerseits das Quiz zu lösen versuchen, müssen sie einen Zugriff auf ihr Twitterkonto erteilen und werden dann automatisch „lolquiz“ folgen und auf ihrem Twitter-Feed posten, wodurch sie sich wie eine Virusinfektion weiterverbreitet.

Ein interessanter Punkt ist, dass der Autor dieser Anwendung zwei weiteren ähnlichen Twitterkonten folgt.

Durch eine einfache Analyse auf Twitter lassen sich eine Reihe gleichartiger, von den Nutzern geposteter Kommentare aufzeigen:

Der tatsächliche Zweck dieser Anwendung wird nicht deutlich. Sie ist (bisher) nicht schädlich, aber potentiell unerwünscht.

Zwar wird behauptet, dass die „Follow“-Verknüpfung aufgehoben werden kann, jedoch wird an keiner Stelle erwähnt, dass der Lese- und Schreibzugriff auf Ihr Twitterkonto auch dann aufrecht bleibt, wenn ihnen nicht mehr folgen. Es wird eine DM-Austrittsmöglichkeit angeboten, die weder die Anwendung entfernt noch die automatische Tweetfunktion beendet.

Derlei Quizapplikationen sind auf Facebook weit verbreitet und scheinen nun auch Twitter zu überschwemmen. Das aktuelle Quiz existiert ungefähr seit 2009.

Sollten die Urheber der Anwendung ihre Website in ein gefährlicheres Tool ändern (oder wenn sie sie mit schädlichen Links kompromittieren), könnten daraus ernsthaftere Probleme entstehen, von denen hunderttausende Nutzer betroffen wären. Denn sie haben die Fähigkeit, jede Information von Ihrem Account zu tweeten.

Mein letzter Blogpost über gefälschte Antivirensoftware, die über Twitter verbreitet wird, ist ein anschauliches Beispiel dafür, was alles geschehen könnte.

Meiner Meinung nach belegt dies, wie gefährlich URL-Verkürzungsdienste sein können, da ein einfacher Copy-and-Paster-Fehler unter Umständen zu komplett unterschiedlichen Webseiten führt, wohingegen der Nutzer bei einer unverkürzten URL bei der Meldung „404 – Page not found“ landet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.