Wo geht’s wirklich hin?

Dieser Tage gabs wieder mal Alarm bei Twitter. Der Kurznachrichtendienst geriet erneut wegen Schwächen in seinen Sicherheitseinstellungen in die Schlagzeilen der Technologieblogger.

Bei genauer Betrachtung des Problems sieht man schnell, dass Twitter zwar eine gehörige Mitschuld trägt, letztendlich aber auch die Benutzer wieder einmal nicht ganz unschuldig sind.

Die aktuelle Attacke funktionierte nämlich nur, weil Nutzer des Dienstes blind auf einen Kurzverweis geklickt hatten, der sie dann auf eine attackierende Seite führte.

Kurz, knapp, gefährlich

Jeder Benutzer von Twitter kennt die Kurzverweise, wie sie von Diensten wie bit.ly, j.mp oder anderen erzeugt werden.

Diese "short URLs" sind praktisch, weil Twitternachrichten eben nur 140 Zeichen lang sein dürfen. Gleichzeitig sind sie aber auch ein Sicherheitsrisiko, weil man nicht auf den ersten Blick erkennt, wo diese Verweise wirklich hinführen.

Es gibt natürlich Abhilfe. Leider scheinen aber viele Nutzer noch immer nicht zu wissen, wie man das wirkliche Ziel eines Verweises herausfindet, ohne es aufzurufen.

Dabei ist alles recht einfach.

Erst checken, dann klicken

Die zentrale Webadresse für die Entschlüsselung von Kurzverweisen ist longURL. Einfach den Kurzverweis dort ins Formular eingeben und der Dienst zeigt das eigentliche Ziel an.

longURL kennt mehr als 100 URL-Verkürzer und die Methoden zur Entschlüsselung der dort erzeugten Kurzverweise.

Von longURL gibt es auch ein Add-on für den Browser Firefox. Ist es installiert, erscheinen die entschlüsselten Verweise in einem sogenannten "Tooltip", wenn der Benutzer mit dem Mauszeiger über den Kurzverweis fährt.

Der URL-Verkürzer bit.ly bietet für alle von dort erzeugten Kurzverweise die Möglichkeit, sie über den Dienst auch wieder zu entschlüsseln. Man gibt den Verweis mit einem angehängten + in die Adresszeile des Browsers ein und bit.ly zeigt einem den eigentlichen, langen Verweis zusammen mit einigen Statistiken.

Auf dem Schreibtisch wirds dunkel

Die Twitterprogramme für den Desktop, wie z.B. TweetDeck, enthalten sehr unterschiedliche Schutzmechanismen, sofern sie überhaupt welche anbieten.

Bei TweetDeck muss der Nutzer die Vorabprüfung verkürzter URLs in den Voreinstellungen aktivieren und die Prüfung erfolgt dann per Klick auf den Verweis.

Man muss kein Prophet sein, um zu ahnen, dass die Mehrheit der Nutzer diese Einstellungsmöglichkeit garnicht kennt, oder aus Bequemlichkeit darauf verzichtet.

Die Hersteller des anderen populären Klienten, Seesmic, verlieren auf ihrer Website kein einziges Wort zum Thema Sicherheit. Dafür wird allerdings reichlich heiße Luft über all die schönen glänzenden Knöpfe gepumpt.

Auch die Produkt-Website von Tweetie glänzt durch die Abwesenheit von sicherheitsrelevanten Hinweisen. Die Software gibt es seit mehr als einem Jahr. Trotzdem (Zitat): "Benutzerhandbuch demnächst …"

Es beunruhigt ein wenig, dass Nutzer sich Software auf ihren Rechner laden, deren Hersteller es nicht für nötig halten, auch nur grundlegende Sicherheitshinweise zu geben.

Auf dem Handy ists ganz finster

Die Programme für Mobiltelefone schneiden am schlechtesten ab. Ausnahme Echofon für das iPhone, wo eine Methode vergleichbar dem longURL Add-on implementiert wurde.

Durch die Bedienungsmethode "Touch" fehlt den Systemen der Geräte ein sogenannter "Handler" für den Event "mouseover". Viele Anbieter, denen es nur ums schnelle Geld im "AppStore" oder "Android Market" geht, machen sich daher garnicht erst die Arbeit eine Entschlüsselung der Kurzverweise zu implementieren.

Angesichts der rasant zunehmenden Bedrohung durch spezialisierte Schadsoftware für mobile Endgeräte ist dies ein bedenklicher Zustand.

Bitte etwas mehr Sorgfalt, liebe Benutzer

Jeder Twitteronier sollte bedenken, dass er alle anderen Nutzer ebenfalls gefährdet, wenn er es zulässt, dass ein Angreifer sein Twitterkonto übernimmt.

Zu überprüfen, wo man sich denn da gerade hinklickt, sollte eine selbstverständliche Sicherheitsmaßnahme sein.

Advertisements

About dozykraut

Proud member of Hillbilly's on Linux, promoting open source redneckism in remote parts of the Milky Way.
This entry was posted in Web and tagged , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s