Twittergebruikers die met hun muis over een bepaalde link gaan krijgen automatisch een pop-up scherm waarin een website wordt geopend. In een aantal gevallen leidt de link naar een Japanse porno-site, maar er worden ook andere websites getoond.

Als een twitteraar boven de bewuste link gaat hangen opent een scherm met de tekst: "This tweet is over 140 characters!" Nadat een gebruiker op 'ok' heeft geklikt wordt er code uitgevoerd in het berichtenveld. Er komt ook een variant langs die direct code uitvoert in het veld.

Twitter moet snel dichten

"Het lijkt erop dat veel gebruikers de fout op dit moment voor de lol gebruiken, maar potentieel kunnen cybercriminelen het gat misbruiken om gebruikers naar websites te leiden met kwaadaardige code, of naar websites met spam advertenties en pop-ups", schrijft Graham Cluley van beveiliger Sophos. Hij hoopt dat Twitter het gat zo snel mogelijk dicht waardoor er geen onMouseOver Javascript code meer kan worden uitgevoerd.

Naast porno wordt de worm ook gebruikt om zogenaamde 'regenboog tweets' te plaatsen, berichten die kleurige blokken of letters bevatten. De exploit kan zich snel verspreiden doordat de links worden verkort en niet duidelijk wordt waar een gebruiker heen klikt of wat er wordt aangeboden.

Alleen op Twitter.com

Het lijkt erop dat applicaties die gebruik maken van de Twitter-api niet vatbaar zijn voor de worm. Ook de mobiele site van Twitter lijkt niet vatbaar. Een webplugin voor Chrome, Power Twitter, is vatbaar voor sommige links maar voert in bepaalde gevallen de code niet uit.

Update 14:55: Inmiddels is er ook een exploit in omloop waarmee een gebruiker niet meer boven de link hoeft te gaan hangen. Met die exploit is het hele twitterscherm een onmouseover-link geworden. Iedereen die naar de website gaat en zijn muis beweegt, retweet automatisch de code van de Twittergebruiker 'Unlevin'.

Update 15.36 uur: Taylor Singletary (@episod), Developer Advocate bij Twitter laat via Twitter weten dat er gewerkt wordt aan een oplossing voor het xss-lek. "Ik zie dit als donkere materie die door ons universum waart", twittert hij.

Update 15.58 uur: Volgens Del Harvey (@delbius), hoofd van het veiligheidsteam van Twitter, is het lek gedicht en kan het niet meer worden misbruikt. Dezelfde melding staat op het statusblog van Twitter.

Bron: Webwereld.nl