Acasă Securitywatch Bug-ul Twitter modifică nivelurile de securitate ale aplicației pe Twitter

Bug-ul Twitter modifică nivelurile de securitate ale aplicației pe Twitter

Video: Alyssa Milano Makes Her BIGGEST OOPSIE Mistake YET on Twitter! (Noiembrie 2024)

Video: Alyssa Milano Makes Her BIGGEST OOPSIE Mistake YET on Twitter! (Noiembrie 2024)
Anonim

Un cercetător de securitate a descoperit o eroare în codul Twitter, care ar fi putut duce la apariția unor aplicații terțe la mesaje directe private fără aprobarea explicită a utilizatorului.

Multe aplicații web permit utilizatorilor să se conecteze folosind conturile lor Twitter și Facebook în loc să creeze încă un cont. Este convenabil ca utilizatorii și dezvoltatorii de aplicații să poată accesa datele utilizatorilor stocate pe rețeaua de socializare. Cesar Cerrudo, un cercetător în domeniul securității cu IOActive, s-a confruntat cu un defect în care aceste aplicații s-ar putea rezolva cu un nivel de acces mai mare decât ar fi trebuit.

Într-o postare pe blogul IOActive Labs Research, Cerrudo a descris cum testează o aplicație Web (încă în curs de dezvoltare), care le-a permis utilizatorilor să se conecteze cu Twitter sau Facebook. La pagina „Conectați-vă”, Cerrudo a văzut că aplicația va putea să-și vadă tweeturile publice, să posteze pe contul său, să-și vadă adepții săi, să urmărească oameni noi și să facă modificări la profil. De asemenea, pagina a declarat explicit că aplicația nu va avea acces la mesajele sale directe sau la parola sa.

"După vizionarea paginii web afișate, am avut încredere că Twitter nu va oferi aplicației acces la parola și la mesajele mele directe. Am simțit că contul meu este în siguranță, așa că m-am conectat și m-am jucat cu aplicația", a scris Cerrudo.

Modificarea nivelurilor de permis

Aplicația avea de fapt capacitatea de a afișa mesaje directe, dar Twitter a blocat aplicația să efectueze cu succes acele acțiuni, deoarece avea doar permisiunile „citit, scris”, a spus Cerrudo. Dacă aplicația dorea să afișeze mesajele private, aplicația ar trebui să solicite un nivel mai mare de acces prin intermediul unei pagini „Autorizați aplicația”.

Cu toate acestea, după ce a intrat și a ieșit din aplicație și Twitter de câteva ori, aplicația a început să afișeze mesajele sale directe. Cerrudo a verificat setarea aplicației și a văzut că brusc a avut „citit, scrie și vedea mesaje directe”, a spus Cerrudo. El a susținut că nu a văzut niciodată pagina aplicației Autorizați.

"A făcut acest lucru fără a avea autorizație, iar Twitter nu a afișat niciun mesaj despre aceasta. A fost un truc simplu de bypass pentru aplicațiile terțe pentru a obține acces la mesajele directe ale unui utilizator Twitter", a scris Cerrudo.

Cerrudo nu și-a dat seama de ce se întâmplă acest lucru și a notificat Twitter. Echipa de securitate a răspuns prompt și a închis problema, astfel încât aplicațiile să nu mai fie arbitrare pentru a obține privilegii sporite. Cu toate acestea, remedierea defectului nu înseamnă că niciuna dintre aplicațiile care au reușit să ocolească setările de securitate ale lui Twitter au fost resetate la nivelurile de permisiune originale.

„După remedierea securității, aplicația pe care am testat-o ​​a avut acces la mesaje directe până la revocarea acesteia”, a scris Cerrudo.

Verificați aplicațiile dvs.

Ar trebui să verificați periodic lista de aplicații care au permisiunea de a vă accesa conturile Twitter și Facebook pentru a vă asigura că nu există surprize neașteptate. Verificați să vă asigurați că toate aplicațiile autorizate sunt aplicații adăugate și aveți încă nevoie. Aruncați orice nu mai folosiți. De asemenea, verificați nivelurile de permisiune pentru a vă asigura că setările sunt adecvate.

Pe Twitter, puteți face clic pe pictograma roată din dreptul casetei de căutare din partea de sus a ecranului și selectați Setări. După selectarea în Aplicații (în partea stângă a ecranului), veți vedea toate aplicațiile care au acces la contul dvs. și când a fost adăugat. Nivelurile de permisiune sunt listate chiar sub numele aplicației. Dacă vreuna dintre ele nu ar trebui să figureze pe listă, faceți clic pe butonul „Revocați accesul”.

Pe Facebook, puteți face clic pe pictograma roată din colțul din dreapta sus al ecranului și selectați Setări cont. După selectarea în Aplicații (în partea stângă a ecranului), veți vedea toate aplicațiile, jocurile, pluginurile și site-urile web care au acces la contul dvs., împreună cu nivelurile de permisiune. Puteți face clic pe Editare pentru a ajusta permisiunile sau „x” pentru a o elimina în întregime.

Durează doar câteva minute, dar merită să vă asigurați că aplicațiile terțe nu vă preiau datele personale.

Bug-ul Twitter modifică nivelurile de securitate ale aplicației pe Twitter