Hace un año, en la conferencia de Open Expo 2018, di una charla en la que presentaba una actualización de nuestra herramienta para hacer Spear Apps to Steal OAuth Tokens que bautizamos como Sappo. Le habíamos añadido en el equipo de Ideas Locas en ElevenPaths la capacidad de controlar una cuenta de Twitter a partir del robo de un token OAuth. Hice la charla allí, pensando que la iban a grabar pero no, no fue así, así que se perdió como las lágrimas en la lluvia.
Como este año voy a volver a ir a Open Expo Europe 2019, he pedido que graben la charla, porque también voy a contar algo nuevo de lo que no hemos hablado nada por ahora. Pero antes, para que tengáis la información completa, os voy a contar básicamente qué es lo que hicimos el año pasado. Allí presentamos una ampliación de Sappo con objetivo Twitter para conseguir:
- Ver, Enviar y Eliminar Mensajes privados en Twitter.
- Publicar y Eliminar Twitts en el time-line de la cuenta controlada.
- Hacer unfollows de la gente a la que sigue la cuenta controlada.
- Hacer que dejen de seguir los followers a la cuenta controlada.
Antes de comenzar a ver cómo funciona el proceso, os dejo las referencias para que leáis lo que ya hemos publicado de Sappo, RansomCloud O365 y la amenaza de OAuth.
Referencias de Sappo
[Post] Sappo: Spear APPs to steal OAuth-Tokens
[Post] Sappo: RansomCloud O365
[Post] Cómo se ha hecho a Gmail el ataque de SPAM masivo por OAuth 2
[Post] Google alerta de las apps NO verificadas al pedir permisos OAuth. Microsoft Office 365 aún debe mejorar un poco.[Post] Sappo: Spear APPs to steal OAuth-Tokens
[Post] Sappo: RansomCloud O365
[Post] Cómo se ha hecho a Gmail el ataque de SPAM masivo por OAuth 2
[Post] OAuth: La amenaza invisible
Y, como no, la charla de la RootedCON 2016 donde hablamos de este tipo de ataques por primera vez y mostramos Sappo al público.
Figura 2: RootedCON 2016 "Sólo hay que besar un Sappo"
Figura 3: Zona de creación de apps en Twitter para developers |
Para ello hay que ir a la sección de apps, convertir la cuenta de Twitter en Developer Account y rellenar el formulario de tu app. En este artículo tienes explicado el proceso: "How to create a Twitter app in 8 easy steps". Nosotros la creamos, y la dimos de alta en Sappo, para poder utilizarla como los demás, así que la vais a ver utilizada en nuestras demos en los vídeos.
1.- Toma de control de la cuenta de Twitter con Sappo
Figura 4: Sappo para Twitter. Robo de token OAuth de cuenta Twitter
En este vídeo tienes el proceso completo, así que una vez que se tiene el token OAuth concedido, podemos continuar con el resto de los ataques. Un punto interesante es que los tokens de Twitter duran una infinidad de tiempo como válidos.
2.- Ver, Eliminar y Publicar Tweets en el Tiem-Line
Una vez que ya tenemos el token validado en Sappo, se puede proceder a gestionar el Time-Line de la cuenta de Twitter. Es decir, se pueden ver todos los mensajes, se pueden eliminar y se pueden publicar nuevos mensajes que saldrán en el Time-Line. En este vídeo se puede ver cómo funciona esto desde Sappo.
Figura 5: Sappo para Twitter. Ver, Eliminar y Publicar mensajes en el Time-Line
3.- Forzar la cuenta a dejar de seguir otras cuentas
Una de las opciones que tiene Sappo para Twitter es que puede forzar a la cuenta controlada a dejar de seguir a cualquier cuenta que esté siguiendo en ese momento, con lo que no le llegaría ningún mensaje publicado por ninguna de esas cuentas que ahora seguía.
Figura 6: Sappo para Twitter. Hacer unfollow a todas las cuentas que se siguen
Además, seguro que alguno de los que sufren el "unfollow" se van a enfadar y ponerle a caldo, que buenos son los twitteros con los "unfollow".
4.- Hacer que la cuenta pierda todos sus followers
Esta es una de las características que más daño puede hacer al dueño de la cuenta, ya que se trata de que pierda todos sus followers. El truco es bastante sencillo. Desde la Sappo, usando la App de Twitter autorizada con el Token, se bloquea y desbloquea a todos los followers. El resultado es que cuando se hace un bloqueo a una cuenta, automáticamente se le fuerza a la cuenta a hacer el unfollow, y aunque luego se hace el desbloqueo de la cuenta, el sistema ya no hace el follow otra vez.
Figura 7: Sappo para Twitter. Eliminar todos los seguidores de una cuenta
5.- Ver, Borrar y Enviar Direct Messages
Por supuesto, también se pueden gestionar los mensajes privados que envía y recibe la cuenta, como Direct Messages. El resultado final es que se puede manipular completamente todo desde Sappo.
Figura 8: Sappo para Twitter. Ver, Eliminar y Enviar Direct Messsages
Eliminar Apps aprobadas en tu cuenta Twitter
Al final, si se tiene un Token OAuth autorizado en Twitter se puede hacer de todo, por lo que si tienes una cuenta de Twitter deberías revisar a qué Apps le has dado permiso. Estas se pueden ver en https://twitter.com/settings/applications. Recuerda que un token OAuth en Twitter aprobado puede durar eones... Y con Sappo se le puede dejar sin Tweets publicados, sin cuentas a quién seguir, sin followers y sin Direct Messages. Totalmente en silencio.
Saludos Malignos!
Figura 5: Sappo para Twitter. Ver, Eliminar y Publicar mensajes en el Time-Line
Figura 6: Sappo para Twitter. Hacer unfollow a todas las cuentas que se siguen
Figura 7: Sappo para Twitter. Eliminar todos los seguidores de una cuenta
Si se quiere rehacer esta operación, cada usuario que ha sido bloqueado y desbloqueado, debería hacer un follow otra vez, con lo que el proceso no sería rápido, ni sencillo, y a una cuenta con muchos followers que haya tardado años en hacerse con sus seguidores, le puede hacer mucho daño.
5.- Ver, Borrar y Enviar Direct Messages
Por supuesto, también se pueden gestionar los mensajes privados que envía y recibe la cuenta, como Direct Messages. El resultado final es que se puede manipular completamente todo desde Sappo.
Figura 8: Sappo para Twitter. Ver, Eliminar y Enviar Direct Messsages
Eliminar Apps aprobadas en tu cuenta Twitter
Al final, si se tiene un Token OAuth autorizado en Twitter se puede hacer de todo, por lo que si tienes una cuenta de Twitter deberías revisar a qué Apps le has dado permiso. Estas se pueden ver en https://twitter.com/settings/applications. Recuerda que un token OAuth en Twitter aprobado puede durar eones... Y con Sappo se le puede dejar sin Tweets publicados, sin cuentas a quién seguir, sin followers y sin Direct Messages. Totalmente en silencio.
Saludos Malignos!
No hay comentarios:
Publicar un comentario