Security: Ein Herz legt Tweetdeck lahm

Erneut hat eine Cross-Site-Scripting-Lücke in Twitters webbasierter Anwendung Tweetdeck dazu geführt, dass sich Tweets tausendfach selbst über den Kurznachrichtendienst im Netz verbreiteten. Ein 19-jähriger Österreicher hatte die Lücke zufällig entdeckt und sofort gemeldet. Andere nutzten die Lücke, um Tweets mit Javascript zu verbreiten, die dafür sorgte, dass sie sich automatisch selbst retweeteten. Twitter hat die Lücke inzwischen geschlossen.

• 

Firo XI hat eine Sicherheitslücke in Tweetdeck entdeckt. (Screenshot: Golem.de)

Normalerweise werden weder HTML-Tags noch Javascript in Tweets verarbeitet, sondern diese als Text angezeigt. Der Nutzer Firo XI probierte Unicode-Zeichen für ein Herz aus, als er merkte, dass dabei HTML-Tags verarbeitet wurden. Ein anschließender Test mit Javascript funktionierte ebenfalls. Er konnte in Tweetdeck ein Dialogfenster damit öffnen.

Inzwischen hatten weitere Nutzer Firos Tweets bemerkt und die gefundene Lücke verbreitete sich weiter über Twitter. Firo hatte die Lücke ordnungsgemäß an @Tweetdeck gemeldet. Wenig später informierte Twitter selbst über die Sicherheitslücke und deaktivierte den Tweetdeck-Dienst vorübergehend. Die Lücke wurde umgehend geschlossen. Inzwischen hatten andere präparierte Tweets zusammengestellt, darunter @derGeruhn. Sein Tweet retweetete sich per Javascript automatisch selbst und zeigte eine Warnung an, Tweetdeck sei unsicher - über 82.000-mal. Darunter waren auch zahlreiche Twitter-Konten mit mehreren Millionen Followern.

Bislang gibt es keine Meldungen darüber, dass die Lücke böswillig ausgenutzt worden sei. Da die Lücke aber den sichtbaren Code automatisch ausführt, könnte er dazu genutzt worden sein, die Session-ID eines Nutzers zu stehlen und sein Konto vorübergehend zu kapern. Nutzern wird geraten, sich von Tweetdeck ab- und wieder anzumelden, damit die Reparaturen übernommen werden. Eine ähnliche Lücke wurde bereits im März 2012 entdeckt.