{"id":1480,"date":"2010-09-21T13:21:37","date_gmt":"2010-09-21T12:21:37","guid":{"rendered":"https:\/\/www.avatter.de\/wordpress\/?p=1480"},"modified":"2010-09-21T13:21:37","modified_gmt":"2010-09-21T12:21:37","slug":"mouseover-wurm-wutet-auf-twitter","status":"publish","type":"post","link":"https:\/\/www.avatter.de\/wordpress\/2010\/09\/mouseover-wurm-wutet-auf-twitter\/","title":{"rendered":"MouseOver-Wurm w\u00fctet auf Twitter (Update)"},"content":{"rendered":"

\"\"Twitter ist gerade wieder einmal das Opfer eines kleinen, aber schwerwiegenden Hacks geworden. Wie Sophos gerade berichtet<\/a>, treibt gerade ein MouseOver-Wurm auf der Plattform sein Unwesen. Wer mit seinem Mauszeiger \u00fcber Tweets gleitet, \u00f6ffnet ungewollt mehrere Pop-Ups, gleichzeitig werden die Nachrichten retweetet. Um sich vor etwaigen Schadcode zu sch\u00fctzen, sollten die Anwender dringend darauf verzichten, das Web-Interface von Twitter zu nutzen und tempor\u00e4r lieber auf externe Clients ausweichen.<\/p>\n

Twitter ist bereits \u00fcber das Problem informiert, hat allerdings noch nicht \u00f6ffentlich reagiert (siehe Status-Seite<\/a>). Laut Sophos sollen die schwarzen Balken, die derzeit anstelle von Tweets erscheinen, die Inhalte kaschieren – der Urheber geht wohl davon aus, dass Nutzer der Zensur nur schwer widerstehen k\u00f6nnen und darauf klicken. Neben den schwarzen Balken tauchen vermehrt auch gigantische Buchstaben in den Timelines auf. Auch hier gilt: Weg mit dem Mauszeiger und den Client anwerfen. Laut DerStandard<\/a> sind die neuen Twitter-Interfaces (Twitter 2.0<\/a>), die diese Woche ihren globalen Roll-Out feiern sollen, bislang nicht betroffen. <\/p>\n

Prominentestes Opfer bislang ist \u00fcbrigens Sarah Brown, die Frau des fr\u00fcheren britischen Prime-Ministers. Der Wurm hat Pornolinks an ihre Follower verteilt, die sie auf japanische Sex-Seiten f\u00fchren:<\/p>\n

\"\"<\/p>\n

14:33 Uhr:<\/strong> Twitter hat offenbar gerade die Notbremse gezogen. Der Aufbau der Timeline wurde in mehreren Accounts (habe es ausprobiert) gestoppt. Im offiziellen Status-Blog (s.o.) ist allerdings noch kein Hinweis auf den Wurm aufgetaucht.<\/p>\n

\"\"<\/p>\n

14:54 Uhr:<\/strong> Kaspersky ist nun an der Sache dran<\/a> und berichtet, dass offenbar eine XSS-Schwachstelle (Cross-Site Scripting) die Eintrittst\u00fcr f\u00fcr den Wurm war. Nach wie vor gilt der Rat: Lasst das Web-Interface in Ruhe und benutzt einen Client. Alternativ sollte dringend JavaScript ausgeschaltet werden.<\/p>\n

\"\"15:01 Uhr:<\/strong> Hier noch ein Screenshot aus dem iPhone-Client. Die Lock-URLs werden falsch (das hei\u00dft f\u00fcr uns gut<\/strong>) intepretiert, so dass sie mit http:\/\/X.XX\/@“onmouseover beginnen. Bis jetzt ist das Krisenmanagement bei Twitter – mit Verlaub – unter aller Kanone. Vielleicht ist der Wurm ein Gag, vielleicht ein schweres Problem. Trotzdem gibt es keine offiziellen Infos von Twitter.<\/p>\n

15:11 Uhr:<\/b> Die BBC hat vorhin bei Sophos angerufen<\/a> und einen reichlich stinkigen Entwickler an den H\u00f6rer bekommen: „Es gibt keinen gescheiten Grund, weshalb man JavaScript twittern darf“, meint Sophos-Mann Graham Cluley. Er geht davon aus, dass die Sicherheitsl\u00fccke zun\u00e4chst als Scherz ausgenutzt wurde und der Wurm nun au\u00dfer Kontrolle geraten ist. „Es reicht aus, bei Twitter eingeloggt zu sein und die Seiten zu betrachten, damit das eigene Konto gehackt werden kann.“ Cluley fordert Twitter auf, k\u00fcnftig verst\u00e4rkt darauf zu achten, welche Inhalte in Tweets erlaubt sind und welche nicht.<\/p>\n

15:27 Uhr: <\/b> TechCrunch hat neue Infos<\/a>. Ideengeber f\u00fcr den Hack sei der Account @RainbowTwtr gewesen, bei dem Regenbogen eingeblendet wurden, wenn der Mauszeiger \u00fcber die Tweets wanderte. Das k\u00f6nnte andere Leute auf neue Ideen gebracht haben.<\/p>\n

\"\"<\/p>\n

Espen Antonsen berichtet<\/a> zudem \u00fcber die zweite Vorstufe des Wurms: <\/p>\n

So Judofyr found a XSS-exploit on Twitter.com and within minutes it spreaded like wildfire. His original tweet just set the anchor background color to black but his next tweet included onmouseover and people could not stop moving the mouse over the tweet resulting in over 40000 tweets within 10 minutes. So Twitter does not encode the URL and whatever is after the @ gets included in the anchor. So css and javascript can be included. Shortly after someone else created a more evil approach.<\/p><\/blockquote>\n

15:44 Uhr: <\/b> Na, herzlichen Gl\u00fcckwunsch, das ging ja schnell. Twitter hat reagiert<\/a>. Im Status-Blog hei\u00dft es dazu nun lapidar:<\/p>\n

XSS attack identified and patched. <\/b>
\nWe\u2019ve identified and are patching a XSS attack; as always, please message @safety if you have info regarding such an exploit. We expect the patch to be fully rolled out shortly and will update again when it is.<\/p><\/blockquote>\n

Die ganze Kiste ist bereits jetzt ziemlich peinlich f\u00fcr Twitter. Das neue Interface soll die User zur\u00fcck von den Clients auf die Plattform lotsen: hier soll geklickt, hier sollen Ums\u00e4tze gemacht werden. Wenn aber nicht die einfachsten Sicherheitsrisiken ausgeschlossen sind (wir erinnern uns: das war nicht das erste Mal<\/a>), ist jedem Nutzer davon jedoch erst einmal abzuraten.<\/p>\n

20.46 Uhr:<\/b> Meine Damen und Herren, es ist fast neun Uhr abends, sie h\u00f6ren Nachrichten. Twitter regt sich endlich und berichtet, was heute eigentlich passiert ist<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Twitter ist gerade wieder einmal das Opfer eines kleinen, aber schwerwiegenden Hacks geworden. Wie Sophos gerade berichtet, treibt gerade ein MouseOver-Wurm auf der Plattform sein…<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14,16],"tags":[492,741,817],"sgb\/featured_image_src":null,"sgb\/author_data":{"display_name":"Andr\u00e9 Vatter","avatar":"https:\/\/secure.gravatar.com\/avatar\/838789e2550a09a9cfda02ae6d536d97?s=96&d=mm&r=g","author_link":"https:\/\/www.avatter.de\/wordpress\/author\/admin\/"},"jetpack_sharing_enabled":true,"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/posts\/1480"}],"collection":[{"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1480"}],"version-history":[{"count":0,"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/posts\/1480\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1480"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1480"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avatter.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1480"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}